Vulnerabilidades

hoppscotch es un ecosistema de desarrollo de API de código abierto. Antes de la versión 2026.2.0, cualquier usuario autenticado puede leer, modificar o eliminar el entorno personal de otro usuario por ID. `user-environments.resolver.ts:82-109`, la mutación `updateUserEnvironment` utiliza `@UseGuards(GqlAuthGuard)` pero carece por completo del decorador `@GqlUser()`. La identidad del usuario nunca se extrae, por lo que el servicio recibe solo el ID del entorno y realiza una `prisma.userEnvironment.update({ where: { id } })` sin ningún filtro de propiedad. La mutación `deleteUserEnvironment` sí extrae al usuario, pero el servicio solo utiliza el UID para verificar si el objetivo es un entorno global. La consulta de eliminación real utiliza WHERE { id } sin AND userUid. Los entornos de hoppscotch almacenan claves API, tokens de autenticación y secretos utilizados en solicitudes API. Un atacante autenticado que obtiene el ID del entorno de otro usuario puede leer sus secretos, reemplazarlos con valores maliciosos o eliminarlos por completo. El formato del ID del entorno es CUID, lo que limita la explotación masiva, pero las amenazas internas y los escenarios combinados de fuga de información son realistas. La versión 2026.2.0 corrige el problema.

Manyfold es una aplicación web de código abierto y autoalojada para gestionar una colección de modelos 3D, particularmente enfocada en la impresión 3D. Antes de la versión 0.133.1, el método `get_model` en `ModelFilesController` (línea 158-160) carga modelos usando `Model.find_param(params[:model_id])` sin `policy_scope()`, eludiendo la autorización de Pundit. Todos los demás controladores usan correctamente `policy_scope(Model).find_param()` (por ejemplo, `ModelsController` línea 263). La versión 0.133.1 corrige el problema.

Phishing Club es un framework de simulación de phishing y man-in-the-middle. Antes de la versión 1.30.2, existe una vulnerabilidad de inyección SQL autenticada en el endpoint de listado de destinatarios GetOrphaned en versiones anteriores a la v1.30.2. El endpoint construye una consulta SQL en bruto y concatena el valor sortBy controlado por el usuario directamente en la cláusula ORDER BY sin validación de lista de permitidos. Debido a que los valores desconocidos se pasan silenciosamente a través de 'RemapOrderBy()', un atacante autenticado puede inyectar expresiones SQL en la cláusula 'ORDER BY'. Este problema fue parcheado en la v1.30.2 al validar la columna de ordenación contra una lista de permitidos y limpiar las asignaciones desconocidas.

Kiteworks es una red de datos privada (PDN). Antes de la versión 9.2.0, una vulnerabilidad en la funcionalidad de ejecución de comandos de Kiteworks permite a usuarios autenticados redirigir la salida de comandos a ubicaciones de archivo arbitrarias. Esto podría ser explotado para sobrescribir archivos críticos del sistema y obtener acceso elevado. La versión 9.2.0 contiene un parche.

SteVe es un sistema de gestión de estaciones de carga de vehículos eléctricos de código abierto. En versiones hasta la 3.11.0 inclusive, cuando un cargador envía un mensaje StopTransaction, SteVe busca la transacción únicamente por transactionId (un entero secuencial que comienza en 1) sin verificar que el cargador solicitante coincida con el cargador que inició originalmente la transacción. Cualquier cargador autenticado puede terminar la sesión activa de cualquier otro cargador en toda la red. La causa raíz se encuentra en OcppServerRepositoryImpl.getTransaction() que consulta únicamente por transactionId sin una verificación de propiedad de chargeBoxId. El validador verifica que la transacción existe y no está ya detenida, pero nunca verifica la identidad. Como un atacante que controla un único cargador registrado, podría enumerar IDs de transacción secuenciales y enviar mensajes StopTransaction dirigidos a sesiones activas en todos los demás cargadores de la red simultáneamente. Combinado con FINDING-014 (endpoints SOAP no autenticados), ni siquiera se requiere un cargador registrado; el ataque es ejecutable con un solo comando curl que requiere solo un chargeBoxId conocido. El commit 7f169c6c5b36a9c458ec41ce8af581972e5c724e contiene una solución para el problema.

La Caja de Herramientas de Desarrollo y Prueba de NVDA es un complemento de NVDA para recopilar herramientas que ayuden al desarrollo y las pruebas de NVDA. Existe una vulnerabilidad en las versiones 2.0 a 8.0 en la función Lector de Registros de este complemento. Un archivo de registro creado con fines maliciosos puede conducir a la ejecución de código arbitrario cuando un usuario lo lee con comandos del lector de registros. El comando de lectura de registros procesa las entradas de registro de voz de manera insegura. Las expresiones de Python incrustadas en el registro pueden ser evaluadas cuando las entradas de voz son leídas con comandos de lectura de registros. Un atacante puede explotar esto convenciendo a un usuario de abrir un archivo de registro creado con fines maliciosos y de analizarlo usando los comandos de lectura de registros. Cuando se lee el registro, el código controlado por el atacante puede ejecutarse con los privilegios del usuario actual.<br /> Este problema no requiere privilegios elevados y se basa únicamente en la interacción del usuario (abrir el archivo de registro). La versión 9.0 contiene una corrección para el problema. Como solución alternativa, evite usar los comandos de lectura de registros, o al menos, los comandos para moverse al mensaje de registro siguiente/anterior (cualquier mensaje o comandos para cada tipo de mensaje). Para mayor seguridad, se pueden deshabilitar sus gestos en el diálogo de gestos de entrada.

hoppscotch es un ecosistema de desarrollo de API de código abierto. Antes de la versión 2026.2.0, un atacante no autenticado puede sobrescribir toda la configuración de infraestructura de una instancia de Hoppscotch autoalojada, incluyendo las credenciales del proveedor OAuth y la configuración SMTP, enviando una única solicitud HTTP POST sin autenticación. El endpoint POST /v1/onboarding/config no tiene protección de autenticación y no realiza ninguna comprobación sobre si la incorporación ya se completó. Un exploit exitoso permite al atacante reemplazar las credenciales de la aplicación OAuth de Google/GitHub/Microsoft de la instancia con las suyas propias, haciendo que todos los inicios de sesión de usuario posteriores a través de SSO se autentiquen contra la aplicación OAuth del atacante. El atacante captura tokens OAuth y direcciones de correo electrónico de cada usuario que inicia sesión después del exploit. Además, el endpoint devuelve un token de recuperación que puede usarse para leer todos los secretos almacenados en texto plano, incluyendo contraseñas SMTP y cualquier otra credencial configurada. La versión 2026.2.0 soluciona el problema.

EverShop es una plataforma de comercio electrónico TypeScript-first. Versiones anteriores a la 2.1.1 tienen una vulnerabilidad en la funcionalidad de &amp;#39;Olvidé mi contraseña&amp;#39;. Al especificar una dirección de correo electrónico objetivo, la respuesta de la API devuelve el token de restablecimiento de contraseña. Esto permite a un atacante tomar el control de la cuenta asociada. La versión 2.1.1 soluciona el problema.

Junrar es una biblioteca de archivo RAR de Java de código abierto. Antes de la versión 7.5.8, una vulnerabilidad de salto de ruta con barra invertida en &amp;#39;LocalFolderExtractor&amp;#39; permite a un atacante escribir archivos arbitrarios con contenido controlado por el atacante en cualquier lugar del sistema de archivos cuando se extrae un archivo RAR manipulado en Linux/Unix. Esto a menudo puede conducir a la ejecución remota de código (por ejemplo, sobrescribiendo perfiles de shell, código fuente, tareas cron, etc.). La versión 7.5.8 tiene una solución para el problema.

Zen C es un lenguaje de programación de sistemas que compila a GNU C/C11 legible por humanos. Antes de la versión 0.4.2, una vulnerabilidad de inyección de comandos (CWE-78) en el compilador Zen C permite a atacantes locales ejecutar comandos de shell arbitrarios proporcionando un nombre de archivo de salida especialmente diseñado a través del argumento de línea de comandos &amp;#39;-o&amp;#39;. La vulnerabilidad existía en la lógica de la aplicación &amp;#39;main&amp;#39; (específicamente en &amp;#39;src/main.c&amp;#39;), donde el compilador construía una cadena de comandos de shell para invocar al compilador C de backend. Esta cadena de comandos se construía concatenando varios argumentos, incluyendo el nombre de archivo de salida controlado por el usuario, y posteriormente se ejecutaba usando la función &amp;#39;system()&amp;#39;. Debido a que &amp;#39;system()&amp;#39; invoca un shell para analizar y ejecutar el comando, los metacaracteres de shell dentro del nombre de archivo de salida eran interpretados por el shell, lo que llevaba a la ejecución arbitraria de comandos. Un atacante que puede influir en los argumentos de línea de comandos pasados al compilador &amp;#39;zc&amp;#39; (como a través de un script de compilación o una configuración de pipeline de CI/CD) puede ejecutar comandos arbitrarios con los privilegios del usuario que ejecuta el compilador. La vulnerabilidad ha sido corregida en la versión 0.4.2 eliminando las llamadas a &amp;#39;system()&amp;#39;, implementando &amp;#39;ArgList&amp;#39; y el manejo interno de argumentos. Se aconseja a los usuarios actualizar a la versión v0.4.2 de Zen C o posterior.

wger es un gestor gratuito y de código abierto de entrenamientos y estado físico. En las versiones hasta la 2.4 inclusive, tres puntos finales de acción &amp;#39;nutritional_values&amp;#39; recuperan objetos a través de &amp;#39;Model.objects.get(pk=pk)&amp;#39; — una llamada ORM directa que omite el queryset con ámbito de usuario. Cualquier usuario autenticado puede leer los datos del plan de nutrición privado de otro usuario, incluyendo la ingesta calórica y el desglose completo de macronutrientes, al proporcionar un PK arbitrario. El commit 29876a1954fe959e4b58ef070170e81703dab60e contiene una solución para el problema.

Actual es una herramienta de finanzas personales local-first. Antes de la versión 26.2.1, en modo multiusuario (OpenID), los endpoints de la API de sincronización (&amp;#39;/sync/*&amp;#39;) no verifican que el usuario autenticado posea o tenga acceso al archivo sobre el que se está operando. Cualquier usuario autenticado puede leer, modificar y sobrescribir los archivos de presupuesto de cualquier otro usuario proporcionando su ID de archivo. La versión 26.2.1 soluciona el problema.