Vulnerabilidades

Kube-router es una solución llave en mano para redes de Kubernetes. Antes de la versión 2.8.0, el módulo proxy de Kube-router no valida las externalIPs o las IPs de loadBalancer antes de programarlas en la configuración de red del nodo. La versión 2.8.0 contiene un parche para el problema. Las soluciones alternativas disponibles incluyen habilitar la puerta de características DenyServiceExternalIPs, desplegar una política de admisión, restringir el RBAC de creación de servicios, monitorear los cambios de servicio y aplicar el filtrado de prefijos BGP.

jsPDF es una biblioteca para generar PDFs en JavaScript. Antes de la versión 4.2.1, el control del usuario sobre el argumento 'options' de la función 'output' permite a los atacantes inyectar HTML arbitrario (como scripts) en el contexto del navegador en el que se abre el PDF creado. La vulnerabilidad puede ser explotada en el siguiente escenario: el atacante proporciona valores para las opciones de salida, por ejemplo, a través de una interfaz web. Estos valores se pasan luego sin sanear (automática o semi-automáticamente) a la víctima del ataque. La víctima crea y abre un PDF con el vector de ataque utilizando una de las sobrecargas de método vulnerables dentro de su navegador. El atacante puede así inyectar scripts que se ejecutan en el contexto del navegador de la víctima y puede extraer o modificar secretos de este contexto. La vulnerabilidad ha sido corregida en jspdf@4.2.1. Como solución alternativa, sanear la entrada del usuario antes de pasarla al método de salida.

jsPDF es una biblioteca para generar PDFs en JavaScript. Anterior a la versión 4.2.1, el control del usuario sobre los argumentos del método 'createAnnotation' permite a los usuarios inyectar objetos PDF arbitrarios, como acciones de JavaScript. Si se le da la posibilidad de pasar entrada no saneada al siguiente método, un usuario puede inyectar objetos PDF arbitrarios, como acciones de JavaScript, que podrían activarse cuando el PDF se abre o se interactúa con el 'createAnnotation': parámetro 'color'. La vulnerabilidad ha sido corregida en jsPDF@4.2.1. Como solución alternativa, sanee la entrada del usuario antes de pasarla a los miembros vulnerables de la API.

Elysia es un framework de Typescript para la validación de solicitudes, inferencia de tipos, documentación OpenAPI y comunicación cliente-servidor. Antes de la versión 1.4.27, una cookie de Elysia podía ser sobrescrita mediante contaminación de prototipos, p. ej. `__proto__`. Este problema está parcheado en la versión 1.4.27. Como solución alternativa, use la validación t.Cookie para forzar el valor de validación y/o evitar la iteración sobre la cookie si es posible.

Cockpit es un sistema de gestión de contenido sin interfaz gráfica. Cualquier instancia de Cockpit CMS que ejecute la versión 2.13.4 o anterior con acceso a la API habilitado es potencialmente afectada por una vulnerabilidad de inyección SQL en el Optimizador de Agregación de MongoLite. Cualquier despliegue donde el endpoint `/api/content/aggregate/{model}` sea accesible públicamente o alcanzable por usuarios no confiables puede ser vulnerable, y los atacantes en posesión de una clave API de solo lectura válida (el nivel de privilegio más bajo) pueden explotar esta vulnerabilidad — no se requiere acceso de administrador. Un atacante puede inyectar SQL arbitrario a través de nombres de campo no saneados en consultas de agregación, eludir el filtro de contenido publicado `_state=1` para acceder a contenido no publicado o restringido, y extraer datos no autorizados de la base de datos de contenido SQLite subyacente. Esta vulnerabilidad ha sido parcheada en la versión 2.13.5. La corrección aplica la misma sanitización de nombres de campo introducida en la v2.13.3 para `toJsonPath()` al método `toJsonExtractRaw()` en `lib/MongoLite/Aggregation/Optimizer.php`, cerrando el vector de inyección en el Optimizador de Agregación.

mdjnelson/moodle-mod_customcert es un plugin de Moodle para crear certificados generados dinámicamente con personalización completa a través del navegador web. Antes de las versiones 4.4.9 y 5.0.3, un profesor que posee 'mod/customcert:manage' en cualquier curso individual puede leer y sobrescribir silenciosamente elementos de certificado pertenecientes a cualquier otro curso en la instalación de Moodle. La devolución de llamada 'core_get_fragment' 'editelement' y el servicio web 'mod_customcert_save_element' ambos no verifican que el 'elementid' proporcionado pertenezca al contexto autorizado, lo que permite la revelación de información entre cursos y la manipulación de datos. Las versiones 4.4.9 y 5.0.3 solucionan el problema.

pyasn1 es una biblioteca ASN.1 genérica para Python. Antes de la versión 0.6.3, la biblioteca 'pyasn1' es vulnerable a un ataque de denegación de servicio (DoS) causado por recursión incontrolada al decodificar datos ASN.1 con estructuras profundamente anidadas. Un atacante puede suministrar una carga útil manipulada que contenga miles de etiquetas 'SEQUENCE' ('0x30') o 'SET' ('0x31') anidadas con marcadores de 'Longitud Indefinida' ('0x80'). Esto fuerza al decodificador a llamarse recursivamente hasta que el intérprete de Python falla con un 'RecursionError' o consume toda la memoria disponible (OOM), provocando la caída de la aplicación anfitriona. Esta es una vulnerabilidad distinta de CVE-2026-23490 (que abordó desbordamientos de enteros en la decodificación de OID). La solución para CVE-2026-23490 ('MAX_OID_ARC_CONTINUATION_OCTETS') no mitiga este problema de recursión. La versión 0.6.3 soluciona este problema específico.

Se encontró una falla en Keycloak. Un atacante remoto no autenticado puede desencadenar una denegación de servicio (DoS) a nivel de aplicación al enviar una SAMLRequest altamente comprimida a través del SAML Redirect Binding. El servidor no aplica límites de tamaño durante la descompresión DEFLATE, lo que lleva a un OutOfMemoryError (OOM) y la subsiguiente terminación del proceso. Esta vulnerabilidad permite a un atacante interrumpir la disponibilidad del servicio.

DiceBear es una biblioteca de avatares para diseñadores y desarrolladores. Antes de la versión 9.4.0, la función 'ensureSize()' en '@dicebear/converter' leía los atributos 'width' y 'height' del SVG de entrada para determinar el tamaño del lienzo de salida para la rasterización (PNG, JPEG, WebP, AVIF). Un atacante que pueda proporcionar un SVG manipulado con dimensiones extremadamente grandes (por ejemplo, 'width="999999999"') podría forzar al servidor a asignar memoria excesiva, lo que llevaría a una denegación de servicio. Esto afecta principalmente a las aplicaciones del lado del servidor que pasan SVGs no confiables o proporcionados por el usuario a las funciones 'toPng()', 'toJpeg()', 'toWebp()' o 'toAvif()' del conversor. Las aplicaciones que solo convierten avatares DiceBear autogenerados no son prácticamente explotables, pero aún así se recomienda actualizarlas. Esto se ha solucionado en la versión 9.4.0. La función 'ensureSize()' ya no lee los atributos SVG para determinar el tamaño de salida. En su lugar, una nueva opción 'size' (predeterminado: 512, máximo: 2048) controla las dimensiones de salida. Los valores no válidos (NaN, negativo, cero, Infinito) vuelven al valor predeterminado. Si la actualización no es posible de inmediato, valide y sanee los atributos 'width' y 'height' de cualquier entrada SVG no confiable antes de pasarla al conversor.

El plugin [CR]Paid Link Manager para WordPress es vulnerable a cross-site scripting reflejado a través de la ruta URL en todas las versiones hasta la 0.5, inclusive, debido a una sanitización de entrada y un escape de salida insuficientes. Esto permite a atacantes no autenticados inyectar scripts web arbitrarios en páginas que se ejecutan si logran engañar a un usuario para que realice una acción como hacer clic en un enlace.

El plugin Subscriptions for WooCommerce para WordPress es vulnerable a la modificación no autorizada de datos debido a una falta de verificación de capacidad en la función `wps_sfw_admin_cancel_susbcription()` en todas las versiones hasta la 1.9.2, inclusive. Esto se debe a que la función está enganchada a la acción `init` sin ninguna verificación de autenticación o autorización, y solo realiza una verificación de no-vacío en el parámetro nonce sin validarlo realmente a través de `wp_verify_nonce()`. Esto hace posible que atacantes no autenticados cancelen cualquier suscripción activa de WooCommerce enviando una solicitud GET manipulada con un valor nonce arbitrario a través del parámetro `wps_subscription_id`.

El plugin WP Go Maps (anteriormente WP Google Maps) para WordPress es vulnerable a cross-site scripting almacenado a través del parámetro 'wpgmza_custom_js' en todas las versiones hasta e incluyendo la 10.0.05 debido a una sanitización de entrada y escape de salida insuficientes y la falta de verificación de capacidad en la función anónima del hook 'admin_post_wpgmza_save_settings'. Esto hace posible que atacantes autenticados, con acceso de nivel Suscriptor y superior, inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.