Vulnerabilidades

En el kernel de Linux, la siguiente vulnerabilidad ha sido resuelta:<br /> <br /> tcp: secure_seq: añadir de nuevo puertos al desplazamiento TS<br /> <br /> Esto revierte 28ee1b746f49 (&amp;#39;secure_seq: degradar a desplazamientos de marca de tiempo por host&amp;#39;)<br /> <br /> tcp_tw_recycle desapareció en 2017.<br /> <br /> Zhouyan Deng informó de una fuga de puerto de origen TCP fuera de ruta a través de un canal lateral de SYN cookie que se puede solucionar de múltiples maneras.<br /> <br /> Una de ellas es traer de vuelta los puertos TCP en la aleatorización del desplazamiento TS.<br /> <br /> Como ventaja adicional, realizamos un único cálculo de siphash() para proporcionar tanto un ISN como un desplazamiento TS.

En el kernel de Linux, la siguiente vulnerabilidad ha sido resuelta:<br /> <br /> perf/core: Corrección de error de conteo de referencias y potencial UAF en perf_mmap<br /> <br /> Syzkaller informó una advertencia de refcount_t: adición en 0; uso después de liberación en perf_mmap.<br /> <br /> El problema es causado por una condición de carrera entre una configuración de mmap() fallida y un mmap() concurrente en un evento dependiente (por ejemplo, usando redirección de salida).<br /> <br /> En perf_mmap(), el ring_buffer (rb) se asigna y se establece en event-&amp;gt;rb con el mmap_mutex retenido. El mutex es entonces liberado para realizar map_range().<br /> <br /> Si map_range() falla, se llama a perf_mmap_close() para limpiar. Sin embargo, dado que el mutex fue liberado, otro hilo que se adjunta a este evento (a través de eventos heredados o redirección de salida) puede adquirir el mutex, observar el puntero event-&amp;gt;rb válido e intentar incrementar su conteo de referencias. Si la ruta de limpieza ya ha reducido el conteo de referencias a cero, esto resulta en un uso después de liberación o una advertencia de saturación de conteo de referencias.<br /> <br /> Esto se corrige al extender el alcance de mmap_mutex para cubrir la llamada a map_range(). Esto asegura que la inicialización y el mapeo del búfer de anillo (o la limpieza en caso de fallo) ocurra de manera atómica y efectiva, evitando que otros hilos accedan a un búfer de anillo medio inicializado o en proceso de terminación.

En el kernel de Linux, la siguiente vulnerabilidad ha sido resuelta:<br /> <br /> nvme: corregir la asignación de memoria en nvme_pr_read_keys()<br /> <br /> nvme_pr_read_keys() toma num_keys del espacio de usuario y lo usa para calcular el tamaño de asignación para rse a través de struct_size(). El límite superior es PR_KEYS_MAX (64K).<br /> <br /> Un espacio de usuario malicioso o con errores puede pasar un valor grande de num_keys que resulta en un intento de asignación de 4MB como máximo, causando una advertencia en el asignador de páginas cuando el orden excede MAX_PAGE_ORDER.<br /> <br /> Para corregir esto, use kvzalloc() en lugar de kzalloc().<br /> <br /> Este error tiene el mismo razonamiento y corrección con el parche a continuación:<br /> https://lore.kernel.org/linux-block/20251212013510.3576091-1-kartikey406@gmail.com/<br /> <br /> Registro de advertencia:<br /> ADVERTENCIA: mm/page_alloc.c:5216 en __alloc_frozen_pages_noprof+0x5aa/0x2300 mm/page_alloc.c:5216, CPU#1: syz-executor117/272<br /> Módulos enlazados:<br /> CPU: 1 UID: 0 PID: 272 Comm: syz-executor117 No contaminado 6.19.0 #1 PREEMPT(voluntario)<br /> Nombre del hardware: QEMU Standard PC (i440FX + PIIX, 1996), BIOS rel-1.16.3-0-ga6ed6b701f0a-prebuilt.qemu.org 04/01/2014<br /> RIP: 0010:__alloc_frozen_pages_noprof+0x5aa/0x2300 mm/page_alloc.c:5216<br /> Código: ff 83 bd a8 fe ff ff 0a 0f 86 69 fb ff ff 0f b6 1d f9 f9 c4 04 80 fb 01 0f 87 3b 76 30 ff 83 e3 01 75 09 c6 05 e4 f9 c4 04 01 &amp;lt;0f&amp;gt; 0b 48 c7 85 70 fe ff ff 00 00 00 00 e9 8f fd ff ff 31 c0 e9 0d<br /> RSP: 0018:ffffc90000fcf450 EFLAGS: 00010246<br /> RAX: 0000000000000000 RBX: 0000000000000000 RCX: 1ffff920001f9ea0<br /> RDX: 0000000000000000 RSI: 000000000000000b RDI: 0000000000040dc0<br /> RBP: ffffc90000fcf648 R08: ffff88800b6c3380 R09: 0000000000000001<br /> R10: ffffc90000fcf840 R11: ffff88807ffad280 R12: 0000000000000000<br /> R13: 0000000000040dc0 R14: 0000000000000001 R15: ffffc90000fcf620<br /> FS: 0000555565db33c0(0000) GS:ffff8880be26c000(0000) knlGS:0000000000000000<br /> CS: 0010 DS: 0000 ES: 0000 CR0: 0000000080050033<br /> CR2: 000000002000000c CR3: 0000000003b72000 CR4: 00000000000006f0<br /> Rastro de llamadas:<br /> <br /> alloc_pages_mpol+0x236/0x4d0 mm/mempolicy.c:2486<br /> alloc_frozen_pages_noprof+0x149/0x180 mm/mempolicy.c:2557<br /> ___kmalloc_large_node+0x10c/0x140 mm/slub.c:5598<br /> __kmalloc_large_node_noprof+0x25/0xc0 mm/slub.c:5629<br /> __do_kmalloc_node mm/slub.c:5645 [inline]<br /> __kmalloc_noprof+0x483/0x6f0 mm/slub.c:5669<br /> kmalloc_noprof include/linux/slab.h:961 [inline]<br /> kzalloc_noprof include/linux/slab.h:1094 [inline]<br /> nvme_pr_read_keys+0x8f/0x4c0 drivers/nvme/host/pr.c:245<br /> blkdev_pr_read_keys block/ioctl.c:456 [inline]<br /> blkdev_common_ioctl+0x1b71/0x29b0 block/ioctl.c:730<br /> blkdev_ioctl+0x299/0x700 block/ioctl.c:786<br /> vfs_ioctl fs/ioctl.c:51 [inline]<br /> __do_sys_ioctl fs/ioctl.c:597 [inline]<br /> __se_sys_ioctl fs/ioctl.c:583 [inline]<br /> __x64_sys_ioctl+0x1bf/0x220 fs/ioctl.c:583<br /> x64_sys_call+0x1280/0x21b0 mnt/fuzznvme_1/fuzznvme/linux-build/v6.19/./arch/x86/include/generated/asm/syscalls_64.h:17<br /> do_syscall_x64 arch/x86/entry/syscall_64.c:63 [inline]<br /> do_syscall_64+0x71/0x330 arch/x86/entry/syscall_64.c:94<br /> entry_SYSCALL_64_after_hwframe+0x76/0x7e<br /> RIP: 0033:0x7fb893d3108d<br /> Código: 28 c3 e8 46 1e 00 00 66 0f 1f 44 00 00 f3 0f 1e fa 48 89 f8 48 89 f7 48 89 d6 48 89 ca 4d 89 c2 4d 89 c8 4c 8b 4c 24 08 0f 05 &amp;lt;48&amp;gt; 3d 01 f0 ff ff 73 01 c3 48 c7 c1 b8 ff ff ff f7 d8 64 89 01 48<br /> RSP: 002b:00007ffff61f2f38 EFLAGS: 00000246 ORIG_RAX: 0000000000000010<br /> RAX: ffffffffffffffda RBX: 00007ffff61f3138 RCX: 00007fb893d3108d<br /> RDX: 0000000020000040 RSI: 00000000c01070ce RDI: 0000000000000003<br /> RBP: 0000000000000001 R08: 0000000000000000 R09: 00007ffff61f3138<br /> R10: 0000000000000000 R11: 0000000000000246 R12: 0000000000000001<br /> R13: 00007ffff61f3128 R14: 00007fb893dae530 R15: 0000000000000001<br />

En el kernel de Linux, la siguiente vulnerabilidad ha sido resuelta:<br /> <br /> net/sched: act_gate: instantánea de parámetros con RCU al reemplazar<br /> <br /> La acción de puerta puede ser reemplazada mientras la devolución de llamada de hrtimer o la ruta de volcado está recorriendo la lista de programación.<br /> <br /> Convertir los parámetros a una instantánea protegida por RCU e intercambiar actualizaciones bajo tcf_lock, liberando la instantánea anterior mediante call_rcu(). Cuando REPLACE omite la lista de entradas, preservar la programación existente para que el estado efectivo permanezca inalterado.

En el kernel de Linux, la siguiente vulnerabilidad ha sido resuelta:<br /> <br /> wifi: mac80211: verificación de límites de link_id en ieee80211_ml_reconfiguration<br /> <br /> link_id se toma del elemento de reconfiguración ML (control &amp;amp; 0x000f), por lo que puede ser 0..15. link_removal_timeout[] tiene IEEE80211_MLD_MAX_NUM_LINKS (15) elementos, por lo que el índice 15 está fuera de los límites. Omitir subelementos con link_id &amp;gt;= IEEE80211_MLD_MAX_NUM_LINKS para evitar una escritura fuera de los límites de la pila.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad:<br /> <br /> fs: ntfs3: solución de bucle infinito en attr_load_runs_range con metadatos inconsistentes<br /> <br /> Se encontró un error de bucle infinito en el sistema de archivos ntfs3 que puede conducir a una condición de Denegación de Servicio (DoS).<br /> <br /> Una imagen NTFS malformada puede causar un bucle infinito cuando un encabezado de atributo indica una lista de ejecuciones vacía, mientras que las entradas de directorio lo referencian como si contuviera datos reales. En NTFS, establecer evcn=-1 con svcn=0 es una forma válida de representar una lista de ejecuciones vacía, y run_unpack() lo maneja correctamente verificando si evcn + 1 es igual a svcn y retornando anticipadamente sin analizar ningún dato de ejecución. Sin embargo, esto crea un problema cuando hay inconsistencia de metadatos, donde el encabezado del atributo afirma estar vacío (evcn=-1) pero el llamador espera leer datos reales. Cuando run_unpack() retorna éxito inmediatamente al ver esta condición, deja el runs_tree sin inicializar con run-&amp;gt;runs como NULL. La función llamadora attr_load_runs_range() asume que un retorno exitoso significa que las ejecuciones fueron cargadas y establece clen en 0, esperando que la siguiente llamada a run_lookup_entry() tenga éxito. Debido a que runs_tree permanece sin inicializar, run_lookup_entry() sigue fallando, y el bucle incrementa vcn en cero (vcn += 0), lo que lleva a un bucle infinito.<br /> <br /> Este parche agrega un contador de reintentos para detectar cuándo run_lookup_entry() falla consecutivamente después de attr_load_runs_vcn(). Si la ejecución aún no se encuentra en el segundo intento, indica metadatos corruptos y retorna -EINVAL, previniendo la vulnerabilidad de Denegación de Servicio (DoS).

En el kernel de Linux, la siguiente vulnerabilidad ha sido resuelta:<br /> <br /> fs: ntfs3: verificar el valor de retorno de indx_find para evitar un bucle infinito<br /> <br /> Hemos encontrado un error de bucle infinito en el sistema de archivos ntfs3 que puede conducir a una condición de Denegación de Servicio (DoS).<br /> <br /> Una entrada de directorio (dentry) malformada en el sistema de archivos ntfs3 puede hacer que el kernel se cuelgue durante las operaciones de búsqueda. Al establecer la bandera HAS_SUB_NODE en una INDEX_ENTRY dentro del bloque INDEX_ALLOCATION de un directorio y manipular el puntero VCN, un atacante puede hacer que la función indx_find() lea repetidamente el mismo bloque, asignando 4 KB de memoria cada vez. El kernel carece de detección de bucles VCN y límites de profundidad, causando agotamiento de memoria y un fallo OOM.<br /> <br /> Este parche añade una verificación del valor de retorno para fnd_push() para prevenir una vulnerabilidad de agotamiento de memoria causada por bucles infinitos. Cuando el índice excede el tamaño del array fnd-&amp;gt;nodes, fnd_push() devuelve -EINVAL. La función indx_find() verifica este valor de retorno y detiene el procesamiento, evitando una mayor asignación de memoria.

En el kernel de Linux, la siguiente vulnerabilidad ha sido resuelta:<br /> <br /> fs: ntfs3: corrige bucle infinito provocado por ATTR_LIST de tamaño cero<br /> <br /> Se encontró un error de bucle infinito en el sistema de archivos ntfs3 que puede llevar a una condición de Denegación de Servicio (DoS).<br /> <br /> Una imagen NTFS malformada puede causar un bucle infinito cuando un atributo ATTR_LIST indica un tamaño de datos cero mientras el controlador asigna memoria para ello.<br /> <br /> Cuando ntfs_load_attr_list() procesa un ATTR_LIST residente con data_size establecido en cero, todavía asigna memoria debido a al_aligned(0). Esto crea un estado inconsistente donde ni-&amp;gt;attr_list.size es cero, pero ni-&amp;gt;attr_list.le no es nulo. Esto hace que ni_enum_attr_ex asuma incorrectamente que no existe ninguna lista de atributos y enumere solo el registro MFT primario. Cuando encuentra ATTR_LIST, el código lo recarga y reinicia la enumeración, repitiéndose indefinidamente. La operación de montaje nunca se completa, colgando el hilo del kernel.<br /> <br /> Este parche añade validación para asegurar que data_size no sea cero antes de la asignación de memoria. Cuando se detecta un ATTR_LIST de tamaño cero, la función devuelve -EINVAL, previniendo una vulnerabilidad de DoS.

En el kernel de Linux, la siguiente vulnerabilidad ha sido resuelta:<br /> <br /> RDMA/siw: Soluciona una posible desreferencia de puntero NULL en el procesamiento de encabezados<br /> <br /> Si siw_get_hdr() devuelve -EINVAL antes de set_rx_fpdu_context(), qp-&amp;gt;rx_fpdu puede ser NULL. La ruta de error en siw_tcp_rx_data() desreferencia qp-&amp;gt;rx_fpdu-&amp;gt;more_ddp_segs sin verificar, lo que puede llevar a una desreferencia de puntero NULL. Solo verificar more_ddp_segs cuando rx_fpdu está presente.<br /> <br /> KASAN splat:<br /> [ 101.384271] KASAN: desreferencia de puntero nulo en el rango [0x00000000000000c0-0x00000000000000c7]<br /> [ 101.385869] RIP: 0010:siw_tcp_rx_data+0x13ad/0x1e50

El SDK de beefree.io es vulnerable a XSS Almacenado en el parámetro URL del icono de Red Social en la funcionalidad de creación de correos electrónicos. Un atacante malicioso puede inyectar HTML y JS arbitrarios en la plantilla, que serán renderizados/ejecutados al visitar la página de vista previa. Sin embargo, debido a la Política de Seguridad de Contenido de beefree, no todas las cargas útiles se ejecutarán con éxito.<br /> <br /> Este problema ha sido solucionado en la versión 3.47.0.

Vulnerabilidad de falta de autorización en WebberZone Contextual Related Posts permite explotar niveles de seguridad de control de acceso configurados incorrectamente. Este problema afecta a Contextual Related Posts: desde n/a antes de la 4.2.2.

El plugin Yoast Duplicate Post para WordPress es vulnerable a la modificación no autorizada de datos debido a una falta de verificación de capacidad en las funciones clone_bulk_action_handler() y republish_request() en todas las versiones hasta la 4.5, inclusive. Esto hace posible que atacantes autenticados, con acceso de nivel Colaborador y superior, dupliquen cualquier entrada en el sitio, incluyendo entradas privadas, borradores y entradas en la papelera a las que no deberían tener acceso. Además, los atacantes con acceso de nivel Autor y superior pueden usar la función &amp;#39;Reescribir y Republicar&amp;#39; para sobrescribir cualquier entrada publicada con su propio contenido.