Vulnerabilidades

El complemento BackWPup para WordPress es vulnerable a Directory Traversal en versiones hasta la 4.0.1 incluida a través de la carpeta de copia de seguridad específica del trabajo. Esto permite a los atacantes autenticados almacenar copias de seguridad en carpetas arbitrarias en el servidor, siempre que el servidor pueda escribir en ellas. Además, la configuración predeterminada colocará un archivo index.php y .htaccess en el directorio elegido (a menos que ya esté presente) cuando se ejecute el primer trabajo de copia de seguridad, cuyo objetivo es evitar la lista de directorios y el acceso a archivos. Esto significa que un atacante podría establecer el directorio de respaldo en la raíz de otro sitio en un entorno compartido y así desactivar ese sitio.

En el kernel de Linux, se resolvió la siguiente vulnerabilidad: drm/v3d: validar los identificadores pasados de drm syncobj en la extensión de rendimiento. Si el espacio de usuario proporciona un identificador desconocido o no válido en cualquier parte de la matriz de identificadores, el resto del controlador no lo manejará tan bien. Arréglelo comprobando que el identificador se haya buscado correctamente o, de lo contrario, falle la extensión saltando al desenrollado existente. (cereza escogida del commit a546b7e4d73c23838d7e4d2c92882b3ca902d213)

En el kernel de Linux, se resolvió la siguiente vulnerabilidad: drm/v3d: validar los identificadores pasados de drm syncobj en la extensión de marca de tiempo. Si el espacio de usuario proporciona un identificador desconocido o no válido en cualquier parte de la matriz de identificadores, el resto del controlador no lo manejará tan bien. Arréglelo comprobando que el identificador se haya buscado correctamente o, de lo contrario, falle la extensión saltando al desenrollado existente. (cereza escogida del commit 8d1276d1b8f738c3afe1457d4dff5cc66fc848a3)

En el kernel de Linux, se resolvió la siguiente vulnerabilidad: drm/v3d: corrige una posible pérdida de memoria en la extensión de rendimiento. Si falla la recuperación de la memoria del espacio de usuario durante el bucle principal, todos los objetos de sincronización de drm buscados hasta ese punto se filtrarán debido a la falta drm_syncobj_put. Solucionarlo exportando y utilizando un asistente de limpieza común. (cereza escogida del commit 484de39fa5f5b7bd0c5f2e2c5265167250ef7501)

En el kernel de Linux, se resolvió la siguiente vulnerabilidad: drm/v3d: corrige una posible pérdida de memoria en la extensión de marca de tiempo. Si falla la recuperación de la memoria del espacio de usuario durante el bucle principal, todos los objetos de sincronización de drm buscados hasta ese punto se filtrarán debido a la falta drm_syncobj_put. Solucionarlo exportando y utilizando un asistente de limpieza común. (cereza escogida del commit 753ce4fea62182c77e1691ab4f9022008f25b62e)

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: drm/v3d: evita el acceso fuera de los límites en las extensiones de consulta de rendimiento. Verifique que la cantidad de espacio de usuario de perfmons que se pasa en las extensiones de copia y restablecimiento no sea mayor que el almacenamiento interno del kernel donde se encuentra el Los identificadores se copiarán. (cereza escogida del commit f32b5128d2c440368b5bf3a7a356823e235caabb)

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: btrfs: haga que cow_file_range_inline() respete la página bloqueada en caso de error. La ruta de escritura almacenada en el búfer de btrfs pasa por __extent_writepage(), que tiene un manejo complicado del valor de retorno para writepage_delalloc(). Específicamente, cuando eso devuelve 1, salimos, pero para otros valores de retorno continuamos y terminamos llamando a btrfs_folio_end_all_writers(). Si la publicación se ha desbloqueado (tenga en cuenta que verificamos el bit PageLocked al inicio de __extent_writepage()), esto resulta en un pánico de afirmación como este de syzbot: BTRFS: error (device loop0 state EAL) in free_log_tree:3267: errno = -5 Fallo de E/S Advertencia BTRFS (estado EAL del bucle 0 del dispositivo): omitir El commit de la transacción abortada. BTRFS: error (EAL de estado de bucle 0 del dispositivo) en cleanup_transaction:2018: errno=-5 Error de aserción de E/S fallida: folio_test_locked(folio), en fs/btrfs/subpage.c:871 ------------ [cortar aquí]------------ ¡ERROR del kernel en fs/btrfs/subpage.c:871! Vaya: código de operación no válido: 0000 [#1] PREEMPT SMP KASAN PTI CPU: 1 PID: 5090 Comm: syz-executor225 No está contaminado 6.10.0-syzkaller-05505-gb1bc554e009e #0 Nombre de hardware: Google Google Compute Engine/Google Compute Engine, BIOS Google 27/06/2024 RIP: 0010:btrfs_folio_end_all_writers+0x55b/0x610 fs/btrfs/subpage.c:871 Código: e9 d3 fb ff ff e8 25 22 c2 fd 48 c7 c7 c0 3c 0e 8c 48 c7 c6 80 3d 0e 8c 48 c7 c2 60 3c 0e 8c b9 67 03 00 00 e8 66 47 ad 07 90 <0f> 0b e8 6e 45 b0 07 4c 89 ff be 08 00 00 00 e8 21 12 25 fe 4c 89 RSP: 00033d72e0 EFLAGS: 00010246 RAX: 0000000000000045 RBX: 00fff0000000402c RCX: 663b7a08c50a0a00 RDX: 0000000000000000 RSI: 0000000080000000 RDI: 000000000 0000000 RBP: ffffc900033d73b0 R08: ffffffff8176b98c R09: 1ffff9200067adfc R10: dffffc0000000000 R11: fffff5200067adfd R12: 0000000000000001 R13: 0000000000 R14: 0000000000000000 R15: ffffea0001cbee80 FS: 0000000000000000( 0000) GS:ffff8880b9500000(0000) knlGS:0000000000000000 CS: 0010 DS: 0000 ES: 0000 CR0: 0000000080050033 CR2: 00007f5f076012f8 CR3: e134000 CR4: 00000000003506f0 DR0: 0000000000000000 DR1: 0000000000000000 DR2: 0000000000000000 DR3: 0000000000000000 DR6: 00000000ffe0ff0 DR7: 0000000000000400 Seguimiento de llamadas: __extent_writepage fs/btrfs/extent_io.c:1597 [en línea] extend_write_cache_pages fs/btrfs/extent_io.c:2251 [en línea] btrfs_writepages+0x14d7/0x2760 fs/btrfs/extent_io.c:2373 do_writepages+0x359/ 0x870 mm/page-writeback.c:2656 filemap_fdatawrite_wbc+0x125/0x180 mm/filemap.c:397 __filemap_fdatawrite_range mm/filemap.c:430 [en línea] __filemap_fdatawrite mm/filemap.c:436 [en línea] filemap_flush+0xdf/0x130 mm /filemap.c:463 btrfs_release_file+0x117/0x130 fs/btrfs/file.c:1547 __fput+0x24a/0x8a0 fs/file_table.c:422 task_work_run+0x24f/0x310 kernel/task_work.c:222 exit_task_work include/linux/task_work .h:40 [en línea] do_exit+0xa2f/0x27f0 kernel/exit.c:877 do_group_exit+0x207/0x2c0 kernel/exit.c:1026 __do_sys_exit_group kernel/exit.c:1037 [en línea] __se_sys_exit_group kernel/exit.c:1035 [en línea] __x64_sys_exit_group+0x3f/0x40 kernel/exit.c:1035 x64_sys_call+0x2634/0x2640 arch/x86/include/generated/asm/syscalls_64.h:232 do_syscall_x64 arch/x86/entry/common.c:52 [en línea] do_syscall_64+0xf3/0x230 arch/x86/entry/common.c:83 Entry_SYSCALL_64_after_hwframe+0x77/0x7f RIP: 0033:0x7f5f075b70c9 Código: No se puede acceder a los bytes del código de operación en 0x7f5f075b709f. Me encontré con el mismo problema al realizar cientos de ejecuciones aceleradas de generic/475, que también genera errores de IO por diseño. Instrumenté ese reproductor con bpftrace y descubrí que el folio_unlock no deseado provenía de la siguiente pila de llamadas: folio_unlock+5 __process_pages_contig+475 cow_file_range_inline.constprop.0+230 cow_file_range+803 btrfs_run_delalloc_range+566 writepage_delalloc+332 __extent_writepage # ---truncado---

En el kernel de Linux, se resolvió la siguiente vulnerabilidad: proteger la recuperación de ->fd[fd] en do_dup2() de predicciones erróneas; ambos llamadores han verificado que fd no es mayor que ->max_fds; sin embargo, una predicción errónea podría terminar con tofree = fdt->fd[fd]; siendo ejecutado especulativamente. Eso está mal por las mismas razones por las que está mal en close_fd()/file_close_fd_locked(); se aplica la misma solución: array_index_nospec(fd, fdt->max_fds) podría diferir de fd solo en caso de ejecución especulativa en una ruta mal prevista.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: apparmor: corrige la deref del puntero nulo al recibir skb durante la creación del calcetín. El siguiente pánico se observa al recibir paquetes ICMP con la marca de seguridad configurada mientras se crea un socket ICMP sin formato. SK_CTX(sk)->label se actualiza en apparmor_socket_post_create(), pero el paquete se entrega al socket antes de eso, lo que provoca la desreferencia del puntero nulo. Descarte el paquete si el contexto de la etiqueta no está establecido. ERROR: desreferencia del puntero NULL del kernel, dirección: 000000000000004c #PF: acceso de lectura del supervisor en modo kernel #PF: código_error(0x0000) - página no presente PGD 0 P4D 0 Ups: 0000 [#1] PREEMPT SMP NOPTI CPU: 0 PID: 407 Comm: a.out No contaminado 6.4.12-arch1-1 #1 3e6fa2753a2d75925c34ecb78e22e85a65d083df Nombre del hardware: VMware, Inc. Plataforma virtual VMware/Plataforma de referencia de escritorio 440BX, BIOS 6.00 28/05/2020 RIP 0010:aa_label_ siguiente_confinado+0xb/0x40 Código: 00 00 48 89 ef e8 d5 25 0c 00 e9 66 ff ff ff 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 66 0f 1f 00 0f 1f 44 00 00 89 f0 > 77 4c 39 c6 7e 1f 48 63 d0 48 8d 14 d7 eb 0b 83 c0 01 48 83 c2 RSP: 0018:ffffa92940003b08 EFLAGS: 00010246 RAX: 0000000000000000 RBX: 000 RCX: 000000000000000e RDX: ffffa92940003be8 RSI: 0000000000000000 RDI: 00000000000000000 RBP: ffff8b57471e7800 R08: ffff8b574c642400 R09: 0000000000000002 R10: ffffffffbd820eeb R11: ffffffffbeb7ff00 R12: ffff8b574c642400 R13: 00000000000000001 R14: 0000000000000001 R15: 00000000000 FS: 00007fb092ea7640(0000) GS:ffff8b577bc00000(0000) knlGS:0000000000000000 CS: 0010 DS: 0000 ES: 0000 CR0: 0000000080050033 000000000000004c CR3: 00000001020f2005 CR4: 00000000007706f0 PKRU: 55555554 Seguimiento de llamadas: ? __morir+0x23/0x70 ? page_fault_oops+0x171/0x4e0? exc_page_fault+0x7f/0x180? asm_exc_page_fault+0x26/0x30? aa_label_next_confined+0xb/0x40 apparmor_secmark_check+0xec/0x330 seguridad_sock_rcv_skb+0x35/0x50 sk_filter_trim_cap+0x47/0x250 sock_queue_rcv_skb_reason+0x20/0x60 raw_rcv+0x13c/0x210 local_deliver+0x1f3/0x250 ip_protocol_deliver_rcu+0x4f/0x2f0 ip_local_deliver_finish+0x76/0xa0 __netif_receive_skb_one_core+0x89/0xa0 netif_receive_skb+0x119/0x170? __netdev_alloc_skb+0x3d/0x140 vmxnet3_rq_rx_complete+0xb23/0x1010 [vmxnet3 56a84f9c97178c57a43a24ec073b45a9d6f01f3a] vmxnet3_poll_rx_only+0x36/0xb0 [vmxnet3 56 a84f9c97178c57a43a24ec073b45a9d6f01f3a] __napi_poll+0x28/0x1b0 net_rx_action+0x2a4/0x380 __do_softirq+0xd1/0x2c8 __irq_exit_rcu+0xbb/0xf0 common_interrupt+0x86/0xa0 asm_common_interrupt+0x26/0x40 RIP: 0010:apparmor_socket_post_create+0xb/0x200 Código: 08 48 85 ff 75 a1 eb b1 0f 1f 80 00 00 00 00 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 f3 0f 1e fa 0f 1f 44 00 00 41 54 <55> 48 89 fd 53 45 85 c0 0f 84 b2 00 00 00 48 8b 1d 80 56 3f 02 48 RSP: 0018:ffffa92940ce7e50 EFLAGS: 00000286 RAX: ffffffffbc756440 RBX: 0000000000000000 RCX: 0000000000000001 RDX: 0000000000000003 RSI: 0000000000000002 RDI: ffff8b574eaab740 RBP: 0000000000000001 R08: 000000000000 R09: 0000000000000000 R10: ffff8b57444cec70 R11: 0000000000000000 R12: 00000000000000003 R13: 0000000000000002 R14: 74eaab740 R15: fffffffbd8e4748 ? __pfx_apparmor_socket_post_create+0x10/0x10 security_socket_post_create+0x4b/0x80 __sock_create+0x176/0x1f0 __sys_socket+0x89/0x100 __x64_sys_socket+0x17/0x20 do_syscall_64+0x5d/0x 90? do_syscall_64+0x6c/0x90? do_syscall_64+0x6c/0x90? do_syscall_64+0x6c/0x90 entrada_SYSCALL_64_after_hwframe+0x72/0xdc

El tema Bricks para WordPress es vulnerable a Cross-Site Request Forgery en versiones hasta la 1.8.1 incluida. Esto se debe a una validación nonce faltante o incorrecta en la función 'save_settings'. Esto hace posible que atacantes no autenticados modifiquen la configuración del tema, incluida la habilitación de una configuración que permite a los usuarios con menos privilegios, como los contribuyentes, realizar la ejecución de código; a través de una solicitud falsificada, pueden engañar a un administrador del sitio para que realice una acción como hacer clic en un enlace.

El tema Bricks para WordPress es vulnerable a Cross-Site Request Forgery en versiones hasta la 1.8.1 incluida. Esto se debe a una validación nonce faltante o incorrecta en la función 'reset_settings'. Esto hace posible que atacantes no autenticados restablezcan la configuración del tema mediante una solicitud falsificada, siempre que puedan engañar al administrador del sitio para que realice una acción como hacer clic en un enlace.

El complemento Slideshow, Image Slider de 2J para WordPress es vulnerable a Cross-Site Scripting Reflejado a través del parámetro 'post' en versiones hasta la 1.3.54 incluida debido a una desinfección de entrada y un escape de salida insuficientes. Esto hace posible que atacantes no autenticados inyecten scripts web arbitrarios en páginas que se ejecutan si logran engañar a un usuario para que realice una acción como hacer clic en un enlace.