Vulnerabilidades

*** Pendiente de traducción *** Penpot is an open-source design tool for design and code collaboration. Prior to version 2.13.2, an authenticated user can read arbitrary files from the server by supplying a local file path (e.g. `/etc/passwd`) as a font data chunk in the `create-font-variant` RPC endpoint, resulting in the file contents being stored and retrievable as a "font" asset. This is an arbitrary file read vulnerability. Any authenticated user with team edit permissions can read arbitrary files accessible to the Penpot backend process on the host filesystem. This can lead to exposure of sensitive system files, application secrets, database credentials, and private keys, potentially enabling further compromise of the server. In containerized deployments, the blast radius may be limited to the container filesystem, but environment variables, mounted secrets, and application configuration are still at risk. Version 2.13.2 contains a patch for the issue.

*** Pendiente de traducción *** HDF5 is software for managing data. Prior to version 1.14.4-2, an attacker who can control an `h5` file parsed by HDF5 can trigger a write-based heap buffer overflow condition. This can lead to a denial-of-service condition, and potentially further issues such as remote code execution depending on the practical exploitability of the heap overflow against modern operating systems. Real-world exploitability of this issue in terms of remote-code execution is currently unknown. Version 1.14.4-2 fixes the issue.

Open WebUI es una plataforma de inteligencia artificial autoalojada diseñada para operar totalmente fuera de línea. Antes de la versión 0.6.44, la modificación manual del historial de chat permite establecer la propiedad `embeds` en un mensaje de respuesta, cuyo contenido se carga en un iFrame con una sandbox que tiene `allow-scripts` y `allow-same-origin` configurados, ignorando la configuración 'iframe Sandbox Allow Same Origin'. Esto permite XSS almacenado en el chat afectado. Esto también se activa cuando el chat está en formato compartido. El resultado es un enlace compartible que contiene la carga útil que puede distribuirse a cualquier otro usuario de la instancia. La versión 0.6.44 soluciona el problema.

Open WebUI es una plataforma de inteligencia artificial autoalojada diseñada para operar completamente sin conexión. Antes de la versión 0.7.0, la modificación manual del historial de chat permite establecer la propiedad 'html' dentro de los metadatos del documento. Esto hace que el frontend entre en una ruta de código que trata el contenido del documento como HTML y los renderiza en un iFrame cuando se previsualiza la cita. Esto permite XSS almacenado a través de una carga útil de documento maliciosa en un chat. La carga útil también se ejecuta cuando se visualiza la cita en un chat compartido. La versión 0.7.0 soluciona el problema.

Trivy Action ejecuta Trivy como acción de GitHub para escanear una imagen de contenedor Docker en busca de vulnerabilidades. Una vulnerabilidad de inyección de comandos existe en las versiones 0.31.0 a 0.33.1 de `aquasecurity/trivy-action` debido a un manejo inadecuado de las entradas de la acción al exportar variables de entorno. La acción escribe líneas 'export VAR=' en `trivy_envs.txt` basándose en entradas proporcionadas por el usuario y posteriormente carga este archivo en `entrypoint.sh`. Debido a que los valores de entrada se escriben sin el escape de shell adecuado, la entrada controlada por el atacante que contiene metacaracteres de shell (por ejemplo, '$(...)', comillas invertidas u otra sintaxis de sustitución de comandos) puede ser evaluada durante el proceso de carga. Esto puede resultar en la ejecución arbitraria de comandos dentro del contexto del ejecutor de GitHub Actions. La versión 0.34.0 contiene un parche para este problema. La vulnerabilidad es explotable cuando un flujo de trabajo consumidor pasa datos controlados por el atacante a cualquier entrada de acción que se escriba en `trivy_envs.txt`. Se requiere acceso a la entrada del usuario por parte del actor malicioso. Los flujos de trabajo que no pasan datos controlados por el atacante a las entradas de `trivy-action`, los flujos de trabajo que se actualizan a una versión parcheada que escapa correctamente los valores de shell o elimina el patrón 'source ./trivy_envs.txt', y los flujos de trabajo donde la entrada del usuario no es accesible no se ven afectados.

*** Pendiente de traducción *** emp3r0r is a C2 designed by Linux users for Linux environments. Prior to version 3.21.2, multiple shared maps are accessed without consistent synchronization across goroutines. Under concurrent activity, Go runtime can trigger `fatal error: concurrent map read and map write`, causing C2 process crash (availability loss). Version 3.21.2 fixes this issue.

CediPay es una aplicación de cripto a fiat para el mercado ghanés. Una vulnerabilidad en CediPay anterior a la versión 1.2.3 permite a los atacantes eludir la validación de entrada en la API de transacciones. El problema ha sido solucionado en la versión 1.2.3. Si la actualización no es posible de inmediato, restrinja el acceso a la API a redes de confianza o rangos de IP; aplique una validación de entrada estricta en la capa de aplicación; y/o supervise los registros de transacciones en busca de anomalías o actividad sospechosa. Estas mitigaciones reducen la exposición, pero no eliminan por completo la vulnerabilidad.

En Ruckus Network Director (RND) < 4.5.0.54, el dispositivo OVA contiene credenciales codificadas para el usuario de la base de datos PostgreSQL de ruckus. En la configuración predeterminada, el servicio PostgreSQL es accesible a través de la red en el puerto TCP 5432. Un atacante puede usar las credenciales codificadas para autenticarse remotamente, obteniendo acceso de superusuario a la base de datos. Esto permite la creación de usuarios administrativos para la interfaz web, la extracción de hashes de contraseñas y la ejecución de comandos arbitrarios del sistema operativo.

SPIP anterior a la versión 4.4.9 permite la Falsificación de Petición del Lado del Servidor Ciega (SSRF) a través de sitios sindicados en el área privada. Al editar un sitio sindicado, la aplicación no verifica que la URL de sindicación sea una URL remota válida, lo que permite a un atacante autenticado hacer que el servidor emita peticiones a destinos internos o externos arbitrarios. Esta vulnerabilidad no es mitigada por la pantalla de seguridad de SPIP.

SPIP anterior a 4.4.9 permite Cross-Site Scripting Almacenado (XSS) a través de sitios sindicados en el área privada. La salida #URL_SYNDIC no se sanea correctamente en la página privada del sitio sindicado, permitiendo a un atacante que puede establecer una URL de sindicación maliciosa inyectar scripts persistentes que se ejecutan cuando otros administradores ven los detalles del sitio sindicado.

SPIP anterior a la versión 4.4.9 permite cross-site scripting (XSS) en el área privada, complementando una corrección incompleta de SPIP 4.4.8. La función echappe_anti_xss() no se aplicó sistemáticamente a las etiquetas HTML input, form, button y anchor (a), permitiendo a un atacante inyectar scripts maliciosos a través de estos elementos. Esta vulnerabilidad no es mitigada por la pantalla de seguridad de SPIP.

SPIP anterior a 4.4.9 permite la deserialización insegura en el área pública a través del filtro table_valeur y el iterador DATA, que aceptan datos serializados. Un atacante que puede colocar contenido serializado malicioso (una precondición que requiere acceso previo u otra vulnerabilidad) puede desencadenar la instanciación arbitraria de objetos y potencialmente lograr la ejecución de código. El uso de datos serializados en estos componentes ha sido desaprobado y será eliminado en SPIP 5. Esta vulnerabilidad no es mitigada por la pantalla de seguridad de SPIP.