Vulnerabilidades

Una vulnerabilidad en la CLI del software Cisco NX-OS podría permitir que un atacante local autenticado ejecute comandos arbitrarios como root en el sistema operativo subyacente de un dispositivo afectado. Esta vulnerabilidad se debe a una validación insuficiente de los argumentos que se pasan a comandos CLI de configuración específicos. Un atacante podría aprovechar esta vulnerabilidad incluyendo una entrada manipulada como argumento de un comando CLI de configuración afectado. Un exploit exitoso podría permitir al atacante ejecutar comandos arbitrarios en el sistema operativo subyacente con privilegios de root. Nota: Para explotar con éxito esta vulnerabilidad en un dispositivo Cisco NX-OS, un atacante debe tener credenciales de administrador.

GeoServer es un servidor de código abierto que permite a los usuarios compartir y editar datos geoespaciales. Antes de las versiones 2.23.6, 2.24.4 y 2.25.2, varios parámetros de solicitud de OGC permitían la ejecución remota de código (RCE) por parte de usuarios no autenticados a través de entradas especialmente diseñadas en una instalación predeterminada de GeoServer debido a la evaluación insegura de nombres de propiedades como expresiones XPath. La API de la librería GeoTools a la que llama GeoServer evalúa los nombres de propiedades/atributos para tipos de entidades de una manera que los pasa de manera insegura a la librería commons-jxpath, que puede ejecutar código arbitrario al evaluar expresiones XPath. Esta evaluación XPath está destinada a ser utilizada únicamente por tipos de funciones complejas (es decir, almacenes de datos de esquemas de aplicación), pero también se aplica incorrectamente a tipos de funciones simples, lo que hace que esta vulnerabilidad se aplique a **TODAS** las instancias de GeoServer. No se proporciona ninguna PoC pública, pero se ha confirmado que esta vulnerabilidad es explotable a través de solicitudes WFS GetFeature, WFS GetPropertyValue, WMS GetMap, WMS GetFeatureInfo, WMS GetLegendGraphic y WPS Execute. Esta vulnerabilidad puede llevar a la ejecución de código arbitrario. Las versiones 2.23.6, 2.24.4 y 2.25.2 contienen un parche para el problema. Existe una workaround eliminando el archivo `gt-complex-xyjar` del GeoServer donde `xy` es la versión de GeoTools (por ejemplo, `gt-complex-31.1.jar` si ejecuta GeoServer 2.25.1). Esto eliminará el código vulnerable de GeoServer, pero puede interrumpir algunas funciones de GeoServer o evitar que GeoServer se implemente si se necesita el módulo gt-complex.

Flowise es una interfaz de usuario de arrastrar y soltar para crear un flujo de modelo de lenguaje grande personalizado. En la versión 1.4.3 de Flowise, el endpoint `/api/v1/openai-assistants-file` en `index.ts` es vulnerable a la lectura arbitraria de archivos debido a la falta de sanitización del parámetro del cuerpo `fileName`. No hay parches conocidos disponibles para este problema.

Flowise es una interfaz de usuario de arrastrar y soltar para crear un flujo de modelo de lenguaje grande personalizado. En la versión 1.4.3 de Flowise, una mala configuración de CORS establece el encabezado Access-Control-Allow-Origin en todos, lo que permite que orígenes arbitrarios se conecten al sitio web. En la configuración predeterminada (no autenticado), orígenes arbitrarios pueden realizar solicitudes a Flowise, robando información del usuario. Esta configuración errónea de CORS puede estar encadenada con la inyección de ruta para permitir que un atacante sin acceso a Flowise lea archivos arbitrarios del servidor Flowise. Al momento de la publicación, no hay parches conocidos disponibles.

Flowise es una interfaz de usuario de arrastrar y soltar para crear un flujo de modelo de lenguaje grande personalizado. En la versión 1.4.3 de Flowise, se produce una vulnerabilidad de cross-site scripting reflejado en el endpoint `api/v1/chatflows/id`. Si se utiliza la configuración predeterminada (no autenticada), un atacante puede crear una URL especialmente manipulada que inyecta Javascript en las sesiones del usuario, lo que le permite robar información, crear ventanas emergentes falsas o incluso redirigir al usuario a otros sitios web sin interacción. Si no se encuentra el ID del flujo de chat, su valor se refleja en la página 404, que tiene el tipo texto/html. Esto permite a un atacante adjuntar scripts arbitrarios a la página, lo que le permite robar información confidencial. Este XSS puede encadenarse con la inyección de ruta para permitir que un atacante sin acceso directo a Flowise lea archivos arbitrarios del servidor Flowise. Al momento de la publicación, no hay parches conocidos disponibles.

A un comando para refinar una clave de fragmento de colección le falta una verificación de autorización. Esto puede hacer que el comando se ejecute directamente en un fragmento, lo que provoca una degradación del rendimiento de la consulta o revela límites de fragmentos a través de canales laterales de temporización. Esto afecta a las versiones de MongoDB Server v5.0, anteriores a la 5.0.22, a las versiones de MongoDB Server v6.0, anteriores a la 6.0.11 y a las versiones de MongoDB Server v7.0 anteriores a la 7.0.3.

MongoDB Compass puede ser susceptible a la inyección de código debido a una configuración insuficiente de protección de la zona de pruebas con el uso del analizador de shell ejson en el manejo de conexiones de Compass. Este problema afecta a las versiones de MongoDB Compass anteriores a la versión 1.42.2

La memoria se daña al invocar una llamada IOCTL para la asignación de memoria de la GPU y el parámetro de tamaño es mayor que el tamaño esperado.

Corrupción de la memoria cuando falla la operación de desasignación de IOMMU, se liberan los búferes DMA y anon.

Corrupción de la memoria al manejar paquetes de usuario durante la operación de enlace VBO.

GeoServer es un servidor de código abierto que permite a los usuarios compartir y editar datos geoespaciales. A partir de la versión 2.10.0 y antes de las versiones 2.24.4 y 2.25.1, la página Estado del servidor de GeoServer y la API REST enumeran todas las variables de entorno y propiedades de Java para cualquier usuario de GeoServer con derechos administrativos como parte del mensaje de estado de esos módulos. Estas variables/propiedades también pueden contener información confidencial, como contraseñas de bases de datos o keys/tokens API. Además, muchas imágenes de contenedores de GeoServer desarrolladas por la comunidad "exportan" otras credenciales desde sus scripts de inicio como variables de entorno al proceso de GeoServer ("java"). El alcance preciso del problema depende de qué imagen de contenedor se utiliza y cómo está configurada. El endpoint API "acerca del estado" que impulsa la página Estado del servidor solo está disponible para los administradores. Dependiendo del entorno operativo, los administradores pueden tener acceso legítimo a las credenciales de otras maneras, pero este problema anula controles más sofisticados (como el acceso sin barreras a secretos o cuentas de rol). De forma predeterminada, GeoServer solo permite el acceso API autenticado del mismo origen. Esto limita las posibilidades de que un atacante externo utilice las credenciales de un administrador para obtener acceso a las credenciales. Los investigadores que encontraron la vulnerabilidad no pudieron determinar otras condiciones bajo las cuales la API REST de GeoServer pueda estar disponible de manera más amplia. Los usuarios deben actualizar las imágenes del contenedor para usar GeoServer 2.24.4 o 2.25.1 para corregir el error. Como workaround, deje las variables de entorno y las propiedades del sistema Java ocultas de forma predeterminada. Quienes brinden la opción de volver a habilitarlo deben comunicar el impacto y los riesgos para que los usuarios puedan tomar una decisión informada.

Divulgación de información al analizar la longitud sub-IE durante la nueva generación de IE.