Vulnerabilidades

Open WebUI es una plataforma de inteligencia artificial autoalojada diseñada para operar totalmente fuera de línea. Antes de la versión 0.6.44, la modificación manual del historial de chat permite establecer la propiedad `embeds` en un mensaje de respuesta, cuyo contenido se carga en un iFrame con una sandbox que tiene `allow-scripts` y `allow-same-origin` configurados, ignorando la configuración 'iframe Sandbox Allow Same Origin'. Esto permite XSS almacenado en el chat afectado. Esto también se activa cuando el chat está en formato compartido. El resultado es un enlace compartible que contiene la carga útil que puede distribuirse a cualquier otro usuario de la instancia. La versión 0.6.44 soluciona el problema.

Trivy Action ejecuta Trivy como acción de GitHub para escanear una imagen de contenedor Docker en busca de vulnerabilidades. Una vulnerabilidad de inyección de comandos existe en las versiones 0.31.0 a 0.33.1 de `aquasecurity/trivy-action` debido a un manejo inadecuado de las entradas de la acción al exportar variables de entorno. La acción escribe líneas 'export VAR=' en `trivy_envs.txt` basándose en entradas proporcionadas por el usuario y posteriormente carga este archivo en `entrypoint.sh`. Debido a que los valores de entrada se escriben sin el escape de shell adecuado, la entrada controlada por el atacante que contiene metacaracteres de shell (por ejemplo, '$(...)', comillas invertidas u otra sintaxis de sustitución de comandos) puede ser evaluada durante el proceso de carga. Esto puede resultar en la ejecución arbitraria de comandos dentro del contexto del ejecutor de GitHub Actions. La versión 0.34.0 contiene un parche para este problema. La vulnerabilidad es explotable cuando un flujo de trabajo consumidor pasa datos controlados por el atacante a cualquier entrada de acción que se escriba en `trivy_envs.txt`. Se requiere acceso a la entrada del usuario por parte del actor malicioso. Los flujos de trabajo que no pasan datos controlados por el atacante a las entradas de `trivy-action`, los flujos de trabajo que se actualizan a una versión parcheada que escapa correctamente los valores de shell o elimina el patrón 'source ./trivy_envs.txt', y los flujos de trabajo donde la entrada del usuario no es accesible no se ven afectados.

HDF5 es un software para la gestión de datos. Antes de la versión 1.14.4-2, un atacante que puede controlar un archivo 'h5' analizado por HDF5 puede desencadenar una condición de desbordamiento de búfer de montículo basado en escritura. Esto puede llevar a una condición de denegación de servicio, y potencialmente a problemas adicionales como la ejecución remota de código dependiendo de la explotabilidad práctica del desbordamiento de montículo contra sistemas operativos modernos. La explotabilidad real de este problema en términos de ejecución remota de código es actualmente desconocida. La versión 1.14.4-2 corrige el problema.

emp3r0r es un C2 diseñado por usuarios de Linux para entornos Linux. Antes de la versión 3.21.2, se acceden a múltiples mapas compartidos sin sincronización consistente entre goroutines. Bajo actividad concurrente, el tiempo de ejecución de Go puede desencadenar 'fatal error: concurrent map read and map write', causando el fallo del proceso C2 (pérdida de disponibilidad). La versión 3.21.2 soluciona este problema.

Penpot es una herramienta de diseño de código abierto para la colaboración en el diseño y la programación. Antes de la versión 2.13.2, un usuario autenticado podía leer archivos arbitrarios del servidor proporcionando una ruta de archivo local (por ejemplo, `/etc/ passwd`) como un fragmento de datos de fuente en el punto final RPC `create-font-variant`, lo que daba lugar a que el contenido del archivo se almacenara y pudiera recuperarse como un recurso de «fuente». Se trata de una vulnerabilidad de lectura de archivos arbitrarios. Cualquier usuario autenticado con permisos de edición de equipo puede leer archivos arbitrarios accesibles para el proceso backend de Penpot en el sistema de archivos del host. Esto puede dar lugar a la exposición de archivos sensibles del sistema, secretos de aplicaciones, credenciales de bases de datos y claves privadas, lo que podría comprometer aún más el servidor. En implementaciones en contenedores, el radio de impacto puede limitarse al sistema de archivos del contenedor, pero las variables de entorno, los secretos montados y la configuración de la aplicación siguen estando en riesgo. La versión 2.13.2 contiene un parche para el problema.

CediPay es una aplicación de cripto a fiat para el mercado ghanés. Una vulnerabilidad en CediPay anterior a la versión 1.2.3 permite a los atacantes eludir la validación de entrada en la API de transacciones. El problema ha sido solucionado en la versión 1.2.3. Si la actualización no es posible de inmediato, restrinja el acceso a la API a redes de confianza o rangos de IP; aplique una validación de entrada estricta en la capa de aplicación; y/o supervise los registros de transacciones en busca de anomalías o actividad sospechosa. Estas mitigaciones reducen la exposición, pero no eliminan por completo la vulnerabilidad.

En Ruckus Network Director (RND) < 4.5.0.54, el dispositivo OVA contiene credenciales codificadas para el usuario de la base de datos PostgreSQL de ruckus. En la configuración predeterminada, el servicio PostgreSQL es accesible a través de la red en el puerto TCP 5432. Un atacante puede usar las credenciales codificadas para autenticarse remotamente, obteniendo acceso de superusuario a la base de datos. Esto permite la creación de usuarios administrativos para la interfaz web, la extracción de hashes de contraseñas y la ejecución de comandos arbitrarios del sistema operativo.

SPIP anterior a 4.4.9 permite la deserialización insegura en el área pública a través del filtro table_valeur y el iterador DATA, que aceptan datos serializados. Un atacante que puede colocar contenido serializado malicioso (una precondición que requiere acceso previo u otra vulnerabilidad) puede desencadenar la instanciación arbitraria de objetos y potencialmente lograr la ejecución de código. El uso de datos serializados en estos componentes ha sido desaprobado y será eliminado en SPIP 5. Esta vulnerabilidad no es mitigada por la pantalla de seguridad de SPIP.

SPIP anterior a 4.4.9 permite Cross-Site Scripting Almacenado (XSS) a través de sitios sindicados en el área privada. La salida #URL_SYNDIC no se sanea correctamente en la página privada del sitio sindicado, permitiendo a un atacante que puede establecer una URL de sindicación maliciosa inyectar scripts persistentes que se ejecutan cuando otros administradores ven los detalles del sitio sindicado.

SPIP anterior a la versión 4.4.9 permite la Falsificación de Petición del Lado del Servidor Ciega (SSRF) a través de sitios sindicados en el área privada. Al editar un sitio sindicado, la aplicación no verifica que la URL de sindicación sea una URL remota válida, lo que permite a un atacante autenticado hacer que el servidor emita peticiones a destinos internos o externos arbitrarios. Esta vulnerabilidad no es mitigada por la pantalla de seguridad de SPIP.

SPIP anterior a la versión 4.4.9 permite cross-site scripting (XSS) en el área privada, complementando una corrección incompleta de SPIP 4.4.8. La función echappe_anti_xss() no se aplicó sistemáticamente a las etiquetas HTML input, form, button y anchor (a), permitiendo a un atacante inyectar scripts maliciosos a través de estos elementos. Esta vulnerabilidad no es mitigada por la pantalla de seguridad de SPIP.

ChurchCRM es un sistema de gestión de iglesias de código abierto. En versiones anteriores a la 6.8.2, era posible para un usuario autenticado con permiso para editar grupos almacenar una carga útil de JavaScript que se ejecutaría cuando el grupo era visualizado en la Vista de Grupo. La versión 6.8.2 corrige este problema.