Vulnerabilidades

SandboxJS es una biblioteca de sandboxing de JavaScript. Antes de la versión 0.8.35, los temporizadores de SandboxJS tienen una elusión de la cuota de ejecución. Un estado de tick global ('currentTicks.current') es compartido entre sandboxes. Los manejadores de cadena de temporizador se compilan en tiempo de ejecución utilizando ese estado de tick global en lugar del objeto de tick del sandbox de programación. En escenarios de sandbox multi-inquilino / concurrente, otro sandbox puede sobrescribir 'currentTicks.current' entre la programación y la ejecución, causando que el callback del temporizador se ejecute bajo el presupuesto de tick de un sandbox diferente y eluda la cuota de ejecución/watchdog del sandbox original. La versión 0.8.35 corrige este problema.

Parse Server es un backend de código abierto que puede ser desplegado en cualquier infraestructura que pueda ejecutar Node.js. Antes de 9.6.0-alpha.15 y 8.6.41, un atacante al que se le permite subir archivos puede eludir el filtro de extensión de archivo añadiendo un parámetro MIME (p. ej., `;charset=utf-8`) al encabezado `Content-Type`. Esto hace que la validación de la extensión falle al cotejarla con la lista de bloqueo, permitiendo que el contenido activo sea almacenado y servido bajo el dominio de la aplicación. Además, ciertas extensiones de archivo basadas en XML que pueden renderizar scripts en navegadores web no están incluidas en la lista de bloqueo predeterminada. Esto puede llevar a ataques de XSS almacenado, comprometiendo tokens de sesión, credenciales de usuario u otros datos sensibles accesibles a través del almacenamiento local del navegador. La corrección en las versiones 9.6.0-alpha.15 y 8.6.41 elimina los parámetros MIME del encabezado `Content-Type` antes de validar la extensión de archivo contra la lista de bloqueo. La lista de bloqueo predeterminada también se ha extendido para incluir extensiones adicionales basadas en XML (`xsd`, `rng`, `rdf`, `rdf+xml`, `owl`, `mathml`, `mathml+xml`) que pueden renderizar contenido activo en navegadores web. Tenga en cuenta que la opción `fileUpload.fileExtensions` está destinada a ser configurada como una lista de permitidos de extensiones de archivo que son válidas para una aplicación específica, no como una lista de denegados. La lista de denegados predeterminada se proporciona solo como un valor predeterminado básico que cubre las extensiones problemáticas más comunes. No pretende ser una lista exhaustiva de todas las extensiones potencialmente peligrosas. Los desarrolladores no deben depender del valor predeterminado, ya que nuevas extensiones que pueden renderizar contenido activo en navegadores podrían surgir en el futuro. Como solución alternativa, configure la opción `fileUpload.fileExtensions` para usar una lista de permitidos de solo las extensiones de archivo que su aplicación necesita, en lugar de depender de la lista de bloqueo predeterminada.

SAMtools es un programa para leer, manipular y escribir formatos de archivo bioinformáticos. A partir de la versión 1.17, en el comando cram-size, utilizado para escribir información sobre qué tan bien se comprimen los archivos CRAM, se omitió una comprobación para ver si 'cram_decode_compression_header()' estaba ausente. Si la función devolvía un error, esto podría llevar a una desreferenciación de puntero NULL. Explotar este error causa una desreferenciación de puntero NULL. Típicamente, esto hará que el programa falle. Las versiones 1.23.1, 1.22.2 y 1.21.1 incluyen correcciones para este problema. No hay una solución alternativa para este problema.

ClipBucket v5 es una plataforma de código abierto para compartir videos. Existe una vulnerabilidad de inyección SQL ciega basada en tiempo autenticada en ClipBucket anterior a la versión 5.5.3 #80 dentro del endpoint 'actions/ajax.php'. Debido a un saneamiento de entrada insuficiente del parámetro 'userid', un atacante autenticado puede ejecutar consultas SQL arbitrarias, lo que lleva a la divulgación completa de la base de datos y a una posible toma de control de cuentas administrativas. La versión 5.5.3 #80 corrige el problema.

ImageMagick es software libre y de código abierto utilizado para editar y manipular imágenes digitales. Antes de las versiones 7.1.2-17 y 6.9.13-42, el método NewXMLTree contiene un error que podría provocar un bloqueo debido a una escritura fuera de los límites de un solo byte cero. Las versiones 7.1.2-17 y 6.9.13-42 solucionan el problema.

StudioCMS es un sistema de gestión de contenido sin cabeza, nativo de Astro y renderizado en el lado del servidor. Antes de la versión 0.4.4, el endpoint `getUsers` de la API REST en StudioCMS utiliza el parámetro de consulta `rank` controlado por el atacante para decidir si las cuentas de propietario deben filtrarse del conjunto de resultados. Como resultado, un token de administrador puede solicitar `rank=owner` y recibir registros de cuentas de propietario, incluyendo IDs, nombres de usuario, nombres para mostrar y direcciones de correo electrónico, a pesar de que el endpoint adyacente `getUser` bloquea correctamente a los administradores para que no vean a los usuarios propietarios. Esto es una inconsistencia de autorización dentro de la misma superficie de gestión de usuarios. La versión 0.4.4 soluciona el problema.

SAMtools es un programa para leer, manipular y escribir formatos de archivo bioinformáticos. El comando 'mpileup' genera secuencias de ADN que han sido alineadas contra una referencia conocida. En cada línea de salida escribe la posición de referencia, opcionalmente la base de ADN de referencia en esa posición (obtenida de un archivo separado) y todas las bases de ADN que se alinearon con esa posición. Como la salida está ordenada por posición, los datos de referencia que ya no son necesarios se descartan una vez que se han impreso. Bajo ciertas condiciones, los datos podrían descartarse demasiado pronto, lo que llevaría a un intento de leer desde un puntero a memoria liberada. Este error puede permitir la fuga de información sobre el estado del programa. También puede causar un fallo del programa a través de un intento de acceder a memoria no válida. Este error está corregido en las versiones 1.21.1 y 1.22. No hay una solución alternativa para este problema.

Devise es una solución de autenticación para Rails basada en Warden. Antes de la versión 5.0.3, una condición de carrera en el módulo Confirmable de Devise permite a un atacante confirmar una dirección de correo electrónico que no posee. Esto afecta a cualquier aplicación Devise que utilice la opción 'reconfirmable' (la predeterminada al usar Confirmable con cambios de correo electrónico). Al enviar dos solicitudes concurrentes de cambio de correo electrónico, un atacante puede desincronizar los campos `confirmation_token` y `unconfirmed_email`. El token de confirmación se envía a un correo electrónico que el atacante controla, pero el `unconfirmed_email` en la base de datos apunta a la dirección de correo electrónico de una víctima. Cuando el atacante utiliza el token, el correo electrónico de la víctima se confirma en la cuenta del atacante. Esto está parcheado en Devise v5.0.3. Los usuarios deben actualizar lo antes posible. Como solución alternativa, las aplicaciones pueden sobrescribir un método específico de los modelos de Devise para forzar que `unconfirmed_email` se persista cuando no ha cambiado. Tenga en cuenta que Mongoid no parece respetar que `will_change!` debería forzar que el atributo se persista, incluso si realmente no cambió, por lo que el usuario podría tener que implementar una solución alternativa similar a Devise estableciendo `changed_attributes["unconfirmed_email"] = nil` también.

OpenEMR es una aplicación gratuita y de código abierto de registros de salud electrónicos y gestión de consultorios médicos. En versiones hasta la 8.0.0 inclusive, el punto final de actualización de mensajes/notas (por ejemplo, PUT o POST) actualiza solo por ID de mensaje/nota y no verifica que el mensaje pertenezca al paciente actual (o que el usuario tiene permiso para editar las notas de ese paciente). Un usuario autenticado con permiso de notas puede modificar los mensajes de cualquier paciente al proporcionar otro ID de mensaje. El commit 92a2ff9eaaa80674b3a934a6556e35e7aded5a41 contiene una solución para el problema.

OmniGen2-RL contiene una vulnerabilidad de ejecución remota de código no autenticada en el componente del servidor de recompensas que permite a atacantes remotos ejecutar comandos arbitrarios enviando solicitudes POST HTTP maliciosas. Los atacantes pueden explotar la deserialización pickle insegura de los cuerpos de las solicitudes para lograr la ejecución de código en el sistema anfitrión que ejecuta el servicio expuesto.

Validación de certificado incorrecta en Devolutions Hub Reporting Service 2025.3.1.1 y versiones anteriores permite a un atacante de red realizar un ataque man-in-the-middle a través de la verificación de certificado TLS deshabilitada.

HTSlib es una biblioteca para leer y escribir formatos de archivo de bioinformática. CRAM es un formato comprimido que almacena datos de alineación de secuencias de ADN utilizando una variedad de codificaciones y métodos de compresión. Al leer datos codificados utilizando el método 'BYTE_ARRAY_LEN', la función 'cram_byte_array_len_decode()' no validó que la cantidad de datos que se estaban desempaquetando coincidiera con el tamaño del búfer de salida donde se iba a almacenar. Dependiendo de la serie de datos que se leyera, esto podría resultar en un desbordamiento de montón o un desbordamiento de pila con bytes controlados por el atacante. Dependiendo del flujo de datos, esto podría resultar en un desbordamiento de búfer en el montón o un desbordamiento de pila. Si un usuario abre un archivo diseñado para explotar este problema, podría provocar el bloqueo del programa, la sobrescritura de estructuras de datos en el montón o la pila de maneras no esperadas por el programa, o el cambio del flujo de control del programa. Podría ser posible usar esto para obtener ejecución de código arbitrario. Las versiones 1.23.1, 1.22.2 y 1.21.1 incluyen correcciones para este problema. No hay una solución alternativa para este problema.