Vulnerabilidades

SiberianCMS - CWE-434: Carga Sin Restricciones de Achivos con Tipos Peligrosos: un usuario malintencionado con privilegios administrativos puede cargar un tipo de archivo peligroso mediante un método no especificado

SiberianCMS - CWE-89: Neutralización Inadecuada de Elementos Especiales utilizados en un comando SQL ("Inyección SQL") por un usuario no autenticado

Se ha encontrado una vulnerabilidad de inyección de comandos del Sistema Operativo en el servidor web EasyPHP que afecta a la versión 14.1. Esta vulnerabilidad podría permitir a un atacante obtener acceso completo al sistema enviando un exploit especialmente manipulado al parámetro /index.php?zone=settings.

Se solucionó un problema de Use-After-Free con una gestión de memoria mejorada. Este problema se solucionó en iOS 17 y iPadOS 17, watchOS 10, macOS Sonoma 14. El procesamiento de contenido web puede provocar la ejecución de código arbitrario.

Se encontró una falla en el undertow. Los servlets anotados con @MultipartConfig pueden causar un OutOfMemoryError debido a un gran contenido multiparte. Esto puede permitir que usuarios no autorizados provoquen un ataque remoto de denegación de servicio (DoS). Si el servidor usa fileSizeThreshold para limitar el tamaño del archivo, es posible evitar el límite estableciendo el nombre del archivo en la solicitud en nulo.

SiberianCMS - CWE-274: Manejo Inadecuado de Privilegios Insuficientes

SiberianCMS - CWE-284 Control de Acceso Inadecuado el usuario autorizado puede desactivar una función de seguridad en la red

Cilium es una solución de redes, observabilidad y seguridad con un plano de datos basado en eBPF. Un atacante con la capacidad de actualizar las etiquetas de los pods puede hacer que Cilium aplique políticas de red incorrectas. Este problema surge debido al hecho de que en la actualización del pod, Cilium utiliza incorrectamente etiquetas de pod proporcionadas por el usuario para seleccionar las políticas que se aplican a la carga de trabajo en cuestión. Esto puede afectar las políticas de red de Cilium que usan el espacio de nombres, la cuenta de servicio o las construcciones de clúster para restringir el tráfico, las políticas de red de todo el clúster de Cilium que usan etiquetas de espacio de nombres de Cilium para seleccionar las políticas de red de Pod y Kubernetes. Se pueden proporcionar nombres de construcciones inexistentes, que omiten todas las políticas de red aplicables a la construcción. Por ejemplo, proporcionar un pod con un espacio de nombres inexistente como valor de la etiqueta `io.kubernetes.pod.namespace` da como resultado que ninguna de las CiliumNetworkPolicies con espacios de nombres se aplique al pod en cuestión. Este ataque requiere que el atacante tenga acceso al servidor API de Kubernetes, como se describe en el modelo de amenazas de Cilium. Este problema se resolvió en: Cilium versiones 1.14.2, 1.13.7 y 1.12.14. Se recomienda a los usuarios que actualicen. Como workaround, se puede utilizar un webhook de admisión para evitar actualizaciones de etiquetas de pod en las claves `k8s:io.kubernetes.pod.namespace` y `io.cilium.k8s.policy.*`.

Se solucionó un problema de la pantalla de bloqueo con una gestión de estado mejorada. Este problema se solucionó en macOS Sonoma 14. Es posible que un usuario pueda ver contenido restringido desde la pantalla de bloqueo.

Se solucionó un problema de acceso con restricciones adicionales de la sandbox. Este problema se solucionó en macOS Sonoma 14. Un proceso de la zona protegida puede eludir las restricciones de la sandbox.

El problema se abordó mejorando el manejo de los protocolos. Este problema se solucionó en tvOS 17, iOS 17 y iPadOS 17, watchOS 10, macOS Sonoma 14. Es posible que una aplicación no aplique el App Transport Security.

El problema se solucionó mejorando el manejo de la memoria. Este problema se solucionó en macOS Sonoma 14. Es posible que una aplicación pueda ejecutar código arbitrario con privilegios del kernel.