Vulnerabilidades

Actual es una herramienta de finanzas personales local-first. Antes de la versión 26.2.1, en modo multiusuario (OpenID), los endpoints de la API de sincronización ('/sync/*') no verifican que el usuario autenticado posea o tenga acceso al archivo sobre el que se está operando. Cualquier usuario autenticado puede leer, modificar y sobrescribir los archivos de presupuesto de cualquier otro usuario proporcionando su ID de archivo. La versión 26.2.1 soluciona el problema.

wger es un gestor de entrenamientos y fitness gratuito y de código abierto. Cinco endpoints de acción de detalle de rutina verifican una caché antes de llamar a `self.get_object()`. En versiones hasta la 2.4 inclusive, las claves de caché se limitan solo por `pk` — no se incluye ningún ID de usuario. Cuando una víctima ha accedido previamente a su rutina a través de la API, un atacante puede recuperar la respuesta en caché para el mismo PK sin ninguna verificación de propiedad. El commit e964328784e2ee2830a1991d69fadbce86ac9fbf contiene un parche para el problema.

Se encontró una vulnerabilidad en go2ismail Asp.Net-Core-Inventory-Order-Management-System hasta la versión 9.20250118. Afectada por esta vulnerabilidad es una funcionalidad desconocida del archivo /api/Security/ del componente Security API. Realizar una manipulación resulta en una autorización indebida. La explotación remota del ataque es posible. Se contactó al proveedor con antelación sobre esta divulgación, pero no respondió de ninguna manera.

Se ha encontrado una vulnerabilidad en itsourcecode School Management System 1.0. Esto afecta a una función desconocida del archivo /settings/index.php del componente Gestor de Configuración. Esta manipulación del argumento ID causa inyección SQL. El ataque puede iniciarse de forma remota. El exploit ha sido publicado y puede ser utilizado.

Una vulnerabilidad ha sido encontrada en go2ismail Asp.Net-Core-Inventory-Order-Management-System hasta 9.20250118. Afectada es una función desconocida del componente Interfaz Administrativa. Dicha manipulación lleva a ejecución después de redirección. El ataque puede ser lanzado remotamente. El exploit ha sido divulgado al público y puede ser usado. El proveedor fue contactado tempranamente sobre esta divulgación pero no respondió de ninguna manera.

Discourse es una plataforma de discusión de código abierto. Antes de las versiones 2025.12.2, 2026.1.1 y 2026.2.0, los usuarios TL4 pueden publicar temas en categorías solo para el personal a través del temporizador de temas 'publish_to_category', omitiendo las comprobaciones de autorización. Las versiones 2025.12.2, 2026.1.1 y 2026.2.0 parchean el problema. No se conocen soluciones alternativas disponibles.

Discourse es una plataforma de discusión de código abierto. Antes de las versiones 2025.12.2, 2026.1.1 y 2026.2.0, una verificación de autorización incorrecta en la lógica de gestión de temas permite a los usuarios autenticados modificar atributos privilegiados de sus temas. Al manipular parámetros específicos en una solicitud PUT o POST, un usuario regular puede elevar el estado de un tema a un aviso o banner de todo el sitio, eludiendo las restricciones administrativas previstas. Las versiones 2025.12.2, 2026.1.1 y 2026.2.0 aplican un parche al problema. No existen soluciones alternativas prácticas para prevenir este comportamiento aparte de aplicar el parche de seguridad. Los administradores preocupados por las promociones no autorizadas deberían auditar los cambios recientes en los banners del sitio y los avisos globales hasta que se implemente la corrección.

Discourse es una plataforma de discusión de código abierto. Antes de las versiones 2025.12.2, 2026.1.1 y 2026.2.0, el control de acceso fail-open en el plugin Data Explorer permite a cualquier usuario autenticado ejecutar consultas SQL que no tienen asignaciones de grupo explícitas, incluyendo consultas de sistema integradas. Las versiones 2025.12.2, 2026.1.1 y 2026.2.0 aplican un parche para el problema. Como solución alternativa, o bien establecer explícitamente permisos de grupo en cada consulta de Data Explorer que no tiene permisos, o deshabilitar el plugin discourse-data-explorer.

wger es un gestor de entrenamientos y fitness gratuito y de código abierto. En versiones hasta la 2.4 inclusive, 'RepetitionsConfigViewSet' y 'MaxRepetitionsConfigViewSet' devuelven los datos de configuración de repeticiones de todos los usuarios porque su 'get_queryset()' llama a '.all()' en lugar de filtrar por el usuario autenticado. Cualquier usuario registrado puede enumerar la estructura de entrenamiento de cualquier otro usuario. El commit 1fda5690b35706bb137850c8a084ec6a13317b64 contiene una solución para el problema.

Weblate es una herramienta de localización basada en web. Antes de la versión 5.16.1, el `AddonViewSet` de la API REST (`weblate/api/views.py`, línea 2831) utiliza `queryset = Addon.objects.all()` sin sobrescribir `get_queryset()` para limitar el alcance de los resultados por permisos de usuario. Esto permite a cualquier usuario autenticado (o usuarios anónimos si `REQUIRE_LOGIN` no está configurado) listar y recuperar TODOS los complementos en todos los proyectos y componentes a través de `GET /api/addons/` y `GET /api/addons/{id}/`. La versión 5.16.1 soluciona el problema.

Umbraco Engage es una plataforma de inteligencia de negocios. Una vulnerabilidad ha sido identificada en Umbraco Engage en versiones anteriores a la 16.2.1 y 17.1.1 donde ciertos endpoints de la API están expuestos sin aplicar comprobaciones de autenticación o autorización. Los endpoints afectados pueden ser accedidos directamente a través de la red sin requerir una sesión válida o credenciales de usuario. Al proporcionar un parámetro identificador controlado por el usuario (por ejemplo, ?id=), un atacante puede recuperar datos sensibles asociados con registros arbitrarios. Debido a que no se realiza ninguna validación de control de acceso, los endpoints son vulnerables a ataques de enumeración, permitiendo a los atacantes iterar sobre identificadores y extraer datos a escala. Un atacante no autenticado puede recuperar datos sensibles relacionados con Engage consultando directamente los endpoints de la API afectados. La vulnerabilidad permite el acceso arbitrario a registros a través de identificadores predecibles o enumerables. El impacto en la confidencialidad se considera alto. No se ha identificado ningún impacto directo en la integridad o disponibilidad. El alcance de los datos expuestos depende de la implementación, pero puede incluir datos analíticos, datos de seguimiento, información relacionada con clientes u otro contenido gestionado por Engage. La vulnerabilidad afecta tanto a la v16 como a la v17. Los parches ya han sido lanzados. Se aconseja a los usuarios actualizar a la 16.2.1 o 17.1.1. No se conocen soluciones alternativas disponibles.

Discourse es una plataforma de discusión de código abierto. Antes de las versiones 2025.12.2, 2026.1.1 y 2026.2.0, los moderadores podían exportar DMs de chat de usuario a través del endpoint de exportación CSV explotando una lista de permitidos excesivamente permisiva en 'can_export_entity?'. El método permitía a los moderadores exportar cualquier entidad no bloqueada explícitamente en lugar de restringir a una lista de permitidos explícita. Las versiones 2025.12.2, 2026.1.1 y 2026.2.0 parchean el problema. No se conocen soluciones alternativas disponibles.