Vulnerabilidades

File Browser proporciona una interfaz de gestión de archivos dentro de un directorio específico y permite cargar, eliminar, previsualizar, renombrar y editar archivos. En la versión 2.32.0, la función de Ejecución de Comandos del Explorador de Archivos solo permite la ejecución de comandos de shell predefinidos en una lista de permitidos específica del usuario. Muchas herramientas permiten la ejecución de comandos arbitrarios, lo que invalida esta limitación. El impacto concreto depende de los comandos otorgados al atacante, pero la gran cantidad de comandos estándar que permiten la ejecución de subcomandos hace probable que cualquier usuario con permisos de "Ejecutar comandos" pueda explotar esta vulnerabilidad. Cualquiera que pueda explotarla tendrá plenos derechos de ejecución de código con el uid del proceso del servidor. Hasta que se solucione este problema, los mantenedores recomiendan deshabilitar completamente la función de "Ejecutar comandos" para todas las cuentas. Dado que la ejecución de comandos es una función inherentemente peligrosa que no se utiliza en todas las implementaciones, debería ser posible deshabilitarla por completo en la configuración de la aplicación. Como medida de defensa a fondo, las organizaciones que no requieran la ejecución de comandos deberían operar el Explorador de archivos desde una imagen de contenedor sin distribución. Se ha publicado una versión de parche para deshabilitar la función en todas las instalaciones existentes y habilitarla. Se ha añadido una advertencia a la documentación, que se muestra en la consola si la función está habilitada. Debido a que el proyecto se encuentra en modo de mantenimiento, el error no se ha corregido. La corrección se encuentra en la solicitud de incorporación de cambios 5199.

File Browser proporciona una interfaz de gestión de archivos dentro de un directorio específico y permite cargar, eliminar, previsualizar, renombrar y editar archivos. En la versión 2.32.0 de la aplicación web, todos los usuarios tienen un ámbito asignado y solo tienen acceso a los archivos dentro de él. La función de Ejecución de Comandos del Explorador de Archivos permite la ejecución de comandos de shell sin restricciones de ámbito, lo que podría otorgar a un atacante acceso de lectura y escritura a todos los archivos administrados por el servidor. Hasta que se solucione este problema, los responsables recomiendan deshabilitar completamente la función "Ejecutar comandos" en todas las cuentas. Dado que la ejecución de comandos es una función inherentemente peligrosa que no se utiliza en todas las implementaciones, debería ser posible deshabilitarla por completo en la configuración de la aplicación. Como medida de defensa, las organizaciones que no requieran la ejecución de comandos deberían operar el Explorador de Archivos desde una imagen de contenedor sin distribución. Se ha publicado una versión de parche para deshabilitar la función en todas las instalaciones existentes y habilitarla. Se ha añadido una advertencia a la documentación que se muestra en la consola si la función está habilitada. Debido a que el proyecto se encuentra en modo de mantenimiento, el error no se ha corregido. La corrección se encuentra en la solicitud de incorporación de cambios 5199.

Se encontraron múltiples XSS almacenado en diferentes nodos con parámetros no saneados en OpenMNS Horizon 33.0.8 y versiones anteriores a la 33.1.6 en varias plataformas, lo que permite a un atacante almacenarlos en una base de datos e inyectar HTML o Javascript en la página. La solución es actualizar a Horizon 33.1.6, 33.1.7 o Meridian 2024.2.6, 2024.2.7 o posterior. Las instrucciones de instalación de Meridian y Horizon indican que están diseñados para instalarse en las redes privadas de una organización y no deben ser accesibles directamente desde Internet. OpenNMS agradece a Fábio Tomé por informar sobre este problema.

Himmelblau es una suite de interoperabilidad para Microsoft Azure Entra ID e Intune. Una vulnerabilidad presente en las versiones 0.9.10 a 0.9.16 permite a un usuario autenticarse en un host Linux a través de Himmelblau usando un PIN de Hello de Linux *inválido*, siempre que el host esté desconectado. Mientras el usuario accede al sistema local, el inicio de sesión único (SSO) falla debido a la caída de la red y a la imposibilidad de emitir tokens (debido a un fallo en el desbloqueo de la clave Hello). El problema principal radica en una suposición incorrecta dentro de la función `acquire_token_by_hello_for_business_key`: se esperaba que devolviera un error `TPMFail` para una clave Hello inválida al estar desconectado, pero en su lugar, una solicitud nonce anterior resultó en un error `RequestFailed`, lo que provocó que el sistema pasara erróneamente a un estado de desconexión exitosa sin validar el desbloqueo de la clave Hello. Esto afecta a los sistemas que usan Himmelblau para la autenticación cuando operan desconectados con la autenticación con PIN de Hello habilitada. Rocky Linux 8 (y sus variantes) no se ven afectados por esta vulnerabilidad. El problema se ha resuelto en la versión 0.9.17 de Himmelblau. Existe una solución alternativa para los usuarios que no puedan actualizar inmediatamente. Deshabilitar la autenticación con PIN de Hello configurando `enable_hello = false` en `/etc/himmelblau/himmelblau.conf` mitigará la vulnerabilidad.

Northern.tech Mender Server anterior a 3.7.11 y 4.x anterior a 4.0.1 tiene un control de acceso incorrecto.

Se descubrió un problema en los dispositivos IROAD Dashcam FX2. Un endpoint de carga de archivos no autenticado puede utilizarse para ejecutar comandos arbitrarios cargando un webshell basado en CGI. Una vez cargado el archivo, el atacante puede ejecutar comandos con privilegios de root, obteniendo así control total sobre la dashcam. Además, al cargar un binario netcat (nc), el atacante puede establecer un shell inverso, manteniendo acceso remoto persistente y privilegiado al dispositivo. Esto permite el control total del dispositivo.

Octo-STS es una aplicación de GitHub que funciona como un Servicio de Token de Seguridad (STS) para la API de GitHub. Las versiones de Octo-STS anteriores a la v0.5.3 son vulnerables a SSRF no autenticado al abusar de los campos de los tokens de OpenID Connect. Se ha demostrado que los tokens maliciosos activan solicitudes de red internas que podrían reflejar registros de errores con información confidencial. Actualice a la v0.5.3 para resolver este problema. Esta versión incluye conjuntos de parches para sanear la entrada y redactar los registros.

Arc anterior a 1.26.1 en Windows tiene un problema de derivación en la configuración del sitio que permite a los sitios web (con permisos previamente otorgados) agregar nuevos permisos cuando el usuario hace clic en cualquier parte del sitio web.

Se encontró una vulnerabilidad clasificada como problemática en linlinjava litemall 1.8.0. La vulnerabilidad afecta a una función desconocida del archivo /wx/comment/post. La manipulación del argumento adminComment provoca una autorización indebida. Es posible ejecutar el ataque de forma remota. Se ha hecho público el exploit y puede que sea utilizado. Se contactó al proveedor con antelación sobre esta divulgación, pero no respondió.

Se ha detectado una vulnerabilidad clasificada como problemática en Xuxueli xxl-sso 1.1.0. Este problema afecta a un procesamiento desconocido del archivo /xxl-sso-server/doLogin. La manipulación del argumento redirect_url provoca una redirección abierta. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado. Se contactó al proveedor con antelación sobre esta divulgación, pero no respondió.

Se encontró una vulnerabilidad clasificada como problemática en Xuxueli xxl-sso 1.1.0. Esta vulnerabilidad afecta al código desconocido del archivo /xxl-sso-server/login. La manipulación del argumento errorMsg provoca ataques de cross site scripting. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado. Se contactó al proveedor con antelación para informarle sobre esta divulgación, pero no respondió.

Se ha detectado una vulnerabilidad clasificada como problemática en LabRedesCefetRJ WeGIA 3.4.0. Esta afecta a una parte desconocida del archivo /html/funcionario/cadastro_funcionario.php del componente Cadastro de Funcionário. La manipulación del argumento Nome/Sobrenome provoca cross site scripting. Es posible iniciar el ataque de forma remota. Se ha hecho público el exploit y puede que sea utilizado. Se trata de un problema diferente al de CVE-2025-23030. Se contactó al proveedor con antelación sobre esta divulgación, pero no respondió.