Vulnerabilidades

Zen C es un lenguaje de programación de sistemas que compila a GNU C/C11 legible por humanos. Antes de la versión 0.4.2, una vulnerabilidad de inyección de comandos (CWE-78) en el compilador Zen C permite a atacantes locales ejecutar comandos de shell arbitrarios proporcionando un nombre de archivo de salida especialmente diseñado a través del argumento de línea de comandos '-o'. La vulnerabilidad existía en la lógica de la aplicación 'main' (específicamente en 'src/main.c'), donde el compilador construía una cadena de comandos de shell para invocar al compilador C de backend. Esta cadena de comandos se construía concatenando varios argumentos, incluyendo el nombre de archivo de salida controlado por el usuario, y posteriormente se ejecutaba usando la función 'system()'. Debido a que 'system()' invoca un shell para analizar y ejecutar el comando, los metacaracteres de shell dentro del nombre de archivo de salida eran interpretados por el shell, lo que llevaba a la ejecución arbitraria de comandos. Un atacante que puede influir en los argumentos de línea de comandos pasados al compilador 'zc' (como a través de un script de compilación o una configuración de pipeline de CI/CD) puede ejecutar comandos arbitrarios con los privilegios del usuario que ejecuta el compilador. La vulnerabilidad ha sido corregida en la versión 0.4.2 eliminando las llamadas a 'system()', implementando 'ArgList' y el manejo interno de argumentos. Se aconseja a los usuarios actualizar a la versión v0.4.2 de Zen C o posterior.

wger es un gestor gratuito y de código abierto de entrenamientos y estado físico. En las versiones hasta la 2.4 inclusive, tres puntos finales de acción 'nutritional_values' recuperan objetos a través de 'Model.objects.get(pk=pk)' — una llamada ORM directa que omite el queryset con ámbito de usuario. Cualquier usuario autenticado puede leer los datos del plan de nutrición privado de otro usuario, incluyendo la ingesta calórica y el desglose completo de macronutrientes, al proporcionar un PK arbitrario. El commit 29876a1954fe959e4b58ef070170e81703dab60e contiene una solución para el problema.

Actual es una herramienta de finanzas personales local-first. Antes de la versión 26.2.1, en modo multiusuario (OpenID), los endpoints de la API de sincronización ('/sync/*') no verifican que el usuario autenticado posea o tenga acceso al archivo sobre el que se está operando. Cualquier usuario autenticado puede leer, modificar y sobrescribir los archivos de presupuesto de cualquier otro usuario proporcionando su ID de archivo. La versión 26.2.1 soluciona el problema.

wger es un gestor de entrenamientos y fitness gratuito y de código abierto. Cinco endpoints de acción de detalle de rutina verifican una caché antes de llamar a `self.get_object()`. En versiones hasta la 2.4 inclusive, las claves de caché se limitan solo por `pk` — no se incluye ningún ID de usuario. Cuando una víctima ha accedido previamente a su rutina a través de la API, un atacante puede recuperar la respuesta en caché para el mismo PK sin ninguna verificación de propiedad. El commit e964328784e2ee2830a1991d69fadbce86ac9fbf contiene un parche para el problema.

Se encontró una vulnerabilidad en go2ismail Asp.Net-Core-Inventory-Order-Management-System hasta la versión 9.20250118. Afectada por esta vulnerabilidad es una funcionalidad desconocida del archivo /api/Security/ del componente Security API. Realizar una manipulación resulta en una autorización indebida. La explotación remota del ataque es posible. Se contactó al proveedor con antelación sobre esta divulgación, pero no respondió de ninguna manera.

Se ha encontrado una vulnerabilidad en itsourcecode School Management System 1.0. Esto afecta a una función desconocida del archivo /settings/index.php del componente Gestor de Configuración. Esta manipulación del argumento ID causa inyección SQL. El ataque puede iniciarse de forma remota. El exploit ha sido publicado y puede ser utilizado.

Una vulnerabilidad ha sido encontrada en go2ismail Asp.Net-Core-Inventory-Order-Management-System hasta 9.20250118. Afectada es una función desconocida del componente Interfaz Administrativa. Dicha manipulación lleva a ejecución después de redirección. El ataque puede ser lanzado remotamente. El exploit ha sido divulgado al público y puede ser usado. El proveedor fue contactado tempranamente sobre esta divulgación pero no respondió de ninguna manera.

Discourse es una plataforma de discusión de código abierto. Antes de las versiones 2025.12.2, 2026.1.1 y 2026.2.0, los usuarios TL4 pueden publicar temas en categorías solo para el personal a través del temporizador de temas 'publish_to_category', omitiendo las comprobaciones de autorización. Las versiones 2025.12.2, 2026.1.1 y 2026.2.0 parchean el problema. No se conocen soluciones alternativas disponibles.

Discourse es una plataforma de discusión de código abierto. Antes de las versiones 2025.12.2, 2026.1.1 y 2026.2.0, una verificación de autorización incorrecta en la lógica de gestión de temas permite a los usuarios autenticados modificar atributos privilegiados de sus temas. Al manipular parámetros específicos en una solicitud PUT o POST, un usuario regular puede elevar el estado de un tema a un aviso o banner de todo el sitio, eludiendo las restricciones administrativas previstas. Las versiones 2025.12.2, 2026.1.1 y 2026.2.0 aplican un parche al problema. No existen soluciones alternativas prácticas para prevenir este comportamiento aparte de aplicar el parche de seguridad. Los administradores preocupados por las promociones no autorizadas deberían auditar los cambios recientes en los banners del sitio y los avisos globales hasta que se implemente la corrección.

Discourse es una plataforma de discusión de código abierto. Antes de las versiones 2025.12.2, 2026.1.1 y 2026.2.0, el control de acceso fail-open en el plugin Data Explorer permite a cualquier usuario autenticado ejecutar consultas SQL que no tienen asignaciones de grupo explícitas, incluyendo consultas de sistema integradas. Las versiones 2025.12.2, 2026.1.1 y 2026.2.0 aplican un parche para el problema. Como solución alternativa, o bien establecer explícitamente permisos de grupo en cada consulta de Data Explorer que no tiene permisos, o deshabilitar el plugin discourse-data-explorer.

wger es un gestor de entrenamientos y fitness gratuito y de código abierto. En versiones hasta la 2.4 inclusive, 'RepetitionsConfigViewSet' y 'MaxRepetitionsConfigViewSet' devuelven los datos de configuración de repeticiones de todos los usuarios porque su 'get_queryset()' llama a '.all()' en lugar de filtrar por el usuario autenticado. Cualquier usuario registrado puede enumerar la estructura de entrenamiento de cualquier otro usuario. El commit 1fda5690b35706bb137850c8a084ec6a13317b64 contiene una solución para el problema.

Weblate es una herramienta de localización basada en web. Antes de la versión 5.16.1, el `AddonViewSet` de la API REST (`weblate/api/views.py`, línea 2831) utiliza `queryset = Addon.objects.all()` sin sobrescribir `get_queryset()` para limitar el alcance de los resultados por permisos de usuario. Esto permite a cualquier usuario autenticado (o usuarios anónimos si `REQUIRE_LOGIN` no está configurado) listar y recuperar TODOS los complementos en todos los proyectos y componentes a través de `GET /api/addons/` y `GET /api/addons/{id}/`. La versión 5.16.1 soluciona el problema.