Vulnerabilidades

Altair es un cliente GraphQL. Antes de la versión 5.2.5, la aplicación de escritorio del cliente Altair GraphQL no sanitiza las URL externas antes de pasarlas al sistema subyacente. Además, Altair GraphQL Client tampoco aísla el contexto del proceso de renderizado. Esto afecta a las versiones del software que se ejecutan en MacOS, Windows y Linux. La versión 5.2.5 soluciona este problema.

Nexkey es un fork de Misskey, una plataforma de redes sociales descentralizada y de código abierto. Antes de la versión 12.121.9, la validación de URL incompleta podía permitir a los usuarios omitir la autenticación para acceder al panel de la cola de trabajos. La versión 12.121.9 contiene una solución para este problema. Como workaround, es posible evitar esto bloqueando el acceso utilizando herramientas como WAF de Cloudflare.

Soft Serve es un servidor Git autohospedable para la línea de comandos. Antes de la versión 0.6.2, una vulnerabilidad de seguridad en Soft Serve podría permitir a un atacante remoto no autenticado eludir la autenticación de clave pública cuando la autenticación SSH interactiva con teclado está activa, a través de la configuración "allow-keyless", y la clave pública requiere verificación adicional del lado del cliente, por ejemplo, utilizando FIDO2 o GPG. Esto se debe a procedimientos de validación insuficientes del paso de la clave pública durante el protocolo de enlace de solicitud SSH, lo que otorga acceso no autorizado si se utiliza el modo de interacción con el teclado. Un atacante podría aprovechar esta vulnerabilidad presentando solicitudes SSH manipuladas utilizando el modo de autenticación interactivo con teclado. Potencialmente, esto podría resultar en un acceso no autorizado al Soft Serve. Los usuarios deben actualizar a la última versión de Soft Serve `v0.6.2` para recibir el parche para este problema. Como workaround esta vulnerabilidad sin realizar una actualización, los usuarios pueden desactivar temporalmente la autenticación SSH interactiva con teclado utilizando la configuración "allow-keyless".

Zope es un servidor de aplicaciones web de código abierto. La propiedad title, disponible en la mayoría de los objetos Zope, se puede utilizar para almacenar código de script que se ejecuta mientras se visualiza el objeto afectado en Zope Management Interface (ZMI). Todas las versiones de Zope 4 y Zope 5 se ven afectadas. Los parches se lanzarán con las versiones 4.8.11 y 5.8.6 de Zope.

Atos Unify OpenScape Session Border Controller hasta V10 R3.01.03 permite la ejecución de comandos del sistema operativo como usuario root por parte de usuarios autenticados con pocos privilegios.

Atos Unify OpenScape Session Border Controller hasta V10 R3.01.03 permite la ejecución de scripts administrativos por parte de usuarios no autenticados.

Los paquetes TouchLink procesados después del tiempo de espera o fuera del alcance debido a la operación de un recurso después de la caducidad y la falta de liberación del recurso después de la vida útil efectiva pueden permitir que se agregue un dispositivo fuera del alcance válido de TouchLink o de la duración del emparejamiento. Este problema afecta a Ember ZNet 7.1.x desde 7.1 .3 a 7.1.5; 7.2.x desde 7.2.0 hasta 7.2.3; La versión 7.3 y posteriores no se ven afectadas

Una condición de ejecución en un subsistema de eventos provocó un problema de use-after-free en llamadas de audio/video establecidas que podría haber resultado en la terminación de la aplicación o en un flujo de control inesperado con muy baja probabilidad.

Hydra es la solución de escalabilidad de dos capas para Cardano. Antes de la versión 0.13.0, es posible que un inicializador de "head" malicioso extraiga uno o más PT para el "head" que está inicializando debido a una lógica de validación de datos incorrecta en la política de acuñación de tokens del "head", lo que luego resulta en una verificación defectuosa para quemar el "head" ST en el validador "initial". Esto es posible porque no se verifica en "HeadTokens.hs" que los datos de las salidas en el validador "initial" sean iguales al ID del "head" real, y tampoco se verifica en el "off-chain code". Durante el estado "Initial" del protocolo, si el inicializador malicioso elimina un PT de los scripts de Hydra, resulta imposible para cualquier otro participante obtener los fondos que han intentado hacer "commit" en el "head", ya que para hacerlo, la transacción Abort debe quemar todos los PT para el "head", pero no pueden quemar el PT que controla el atacante y, por lo tanto, no pueden satisfacer este requisito. Eso significa que el inicializador puede bloquear los fondos hechos "committed" de los otros participantes para siempre o hasta que decidan devolver el PT (rescate). El inicializador malicioso también puede usar el PT para simular un "committed" en un TxO particular cuando el "head" avanza al estado "Open". Por ejemplo, podrían decir que hicieron "committed" a un TxO residiendo en su dirección que contenía 100 ADA, pero en realidad estos 100 ADA no se movieron al "head" y, por lo tanto, para que otro participante realice el fanout se verán obligados a pagar al atacante los 100 ADA de sus propios fondos, ya que la transacción fanout debe pagar todos los TxO que hicieron "committed" (aunque el atacante realizó el "commit" TxO). Pueden hacer esto colocando el PT en un UTxO con un dato "Commit" bien formado con el contenido que deseen y luego usar este UTxO en la transacción "collectCom". Puede haber otras formas posibles de abusar del control de un PT. La versión 0.13.0 soluciona este problema.

Common Voice es la aplicación web de Mozilla Common Voice, una plataforma para recopilar donaciones de voz con el fin de crear conjuntos de datos de dominio público para entrenar herramientas relacionadas con el reconocimiento de voz. La versión 1.88.2 es vulnerable a Cross-Site Scripting (XSS) dado que los datos controlados por el usuario fluyen a una expresión de ruta (ruta de una solicitud de red). Este problema puede llevar a un Cross-Site Scripting (XSS) en el contexto del origen del servidor de Common Voice. Al momento de la publicación, se desconoce si existen parches o workarounds.

Redisson es un cliente Java Redis que utiliza el framework Netty. Antes de la versión 3.22.0, algunos de los mensajes recibidos del servidor Redis contienen objetos Java que el cliente deserializa sin mayor validación. Los atacantes que logran engañar a los clientes para que se comuniquen con un servidor malicioso pueden incluir objetos especialmente manipulados en sus respuestas que, una vez deserializados por el cliente, lo obligan a ejecutar código arbitrario. Se puede abusar de esto para tomar el control de la máquina en la que se ejecuta el cliente. La versión 3.22.0 contiene un parche para este problema. Se encuentran disponibles algunos consejos posteriores a la reparación. NO utilice `Kryo5Codec` como códec de deserialización, ya que aún es vulnerable a la deserialización arbitraria de objetos debido a la llamada `setRegistrationRequired(false)`. Por el contrario, "KryoCodec" es seguro de usar. La solución aplicada a `SerializationCodec` solo consiste en agregar una lista opcional de nombres de clases de permitidos, aunque se recomienda que este comportamiento sea el predeterminado. Al crear una instancia de `SerializationCodec`, utilice el constructor `SerializationCodec(ClassLoader classLoader, Set AllowClasses)` para restringir las clases permitidas para la deserialización.

Vulnerabilidad de Cross-Site Scripting (XSS) en Small CRM en PHP v.3.0 permite a un atacante remoto ejecutar código arbitrario a través de un payload manipulado en el parámetro Dirección.