Vulnerabilidades

ZoneMinder es una aplicación de software de circuito cerrado de televisión de código abierto y gratuita para Linux que admite cámaras IP, USB y analógicas. Las versiones anteriores a la 1.36.33 y 1.37.33 contienen una inyección SQL. Los parámetros de solicitud minTime y maxTime no están validados correctamente y podrían usarse para ejecutar SQL arbitrario. Este problema se solucionó en las versiones 1.36.33 y 1.37.33.

ZoneMinder es una aplicación de software de circuito cerrado de televisión de código abierto y gratuita para Linux que admite cámaras IP, USB y analógicas. Las versiones anteriores a 1.36.33 y 1.37.33 contienen una vulnerabilidad de inclusión de archivos locales (ruta de búsqueda no confiable) a través de /web/index.php. Al controlar $view, se puede ejecutar cualquier archivo local que termine en .php. Se supone que esto se mitiga llamando a detaintPath, sin embargo, dentaintPath no protege adecuadamente la ruta de la sandbox. Esto se puede aprovechar construyendo rutas como "..././", que se reemplazan por "../". Este problema se solucionó en las versiones 1.36.33 y 1.37.33.

ZoneMinder es una aplicación de software de circuito cerrado de televisión de código abierto y gratuita para Linux que admite cámaras IP, USB y analógicas. Las versiones anteriores a 1.36.33 y 1.37.33 son vulnerables a la ejecución remota de código no autenticado mediante autorización faltante. No hay verificación de permisos en la acción de instantánea, que espera que una identificación busque un monitor existente, pero en su lugar se le puede pasar un objeto para crear uno nuevo. TriggerOn termina llamando a shell_exec usando la identificación proporcionada. Este problema se solucionó en Este problema se solucionó en las versiones 1.36.33 y 1.37.33.

Path traversal: '\..\filename' en el repositorio salesagility/suitecrm de GitHub anterior a 7.12.9.

ZoneMinder es una aplicación de software de circuito cerrado de televisión de código abierto y gratuita para Linux que admite cámaras IP, USB y analógicas. Las versiones anteriores a 1.36.33 y 1.37.33 se ven afectadas por una vulnerabilidad de inyección SQL. Una vulnerabilidad de inyección SQL de tipo Blind está presente dentro del parámetro de cadena de consulta `filter[Query][terms][0][attr]` del endpoint `/zm/index.php`. Un usuario con permisos de Ver o Editar Eventos puede ejecutar SQL arbitrario. El impacto resultante puede incluir acceso no autorizado a datos (y modificación), autenticación y/o omisión de autorización y ejecución remota de código.

ZoneMinder es una aplicación de software de circuito cerrado de televisión de código abierto y gratuita para Linux que admite cámaras IP, USB y analógicas. Las versiones anteriores a la 1.36.33 y 1.37.33 contienen inyección SQL mediante un token web jason malicioso. Se confiaba en el campo Username del token JWT al realizar una consulta SQL para cargar el usuario. Si un atacante pudiera determinar la clave HASH utilizada por ZoneMinder, podría generar un token JWT malicioso y usarlo para ejecutar SQL arbitrario. Este problema se solucionó en las versiones 1.36.33 y 1.37.33.

ZoneMinder es una aplicación de software de circuito cerrado de televisión de código abierto y gratuita para Linux que admite cámaras IP, USB y analógicas. Las versiones anteriores a la 1.36.33 son vulnerables a los scripts entre sitios. Las entradas de registro se pueden inyectar en los registros de la base de datos y contienen un campo de referencia malicioso. Esto no tiene escape cuando se ven los registros en la interfaz de usuario web. Este problema se solucionó en la versión 1.36.33.

Cross-Site Request Forgery (CSRF) en el repositorio froxlor/froxlor de GitHub anterior a 2.0.11.

Gentoo soko es el código que impulsa a packages.gentoo.org. Las versiones anteriores a la 1.0.1 son vulnerables a la inyección SQL, lo que provoca una denegación de servicio. Si el usuario selecciona (en las preferencias del usuario) la vista "Paquetes visitados recientemente" para la página de índice, el valor de la cookie `search_history` se utiliza como una lista de átomos separados por comas codificados en base64. Estas son cadenas cargadas directamente en la consulta SQL con una cadena de formato `atom = '%s'`. Como resultado, cualquier usuario puede modificar el valor de la cookie del navegador e inyectar la mayoría de las consultas SQL. Se generó una cookie de prueba de concepto con formato incorrecto que borró la base de datos o cambió su contenido. En la base de datos, sólo se almacenan datos públicos, por lo que no hay problemas de confidencialidad para los usuarios del sitio. Si se sabe que la base de datos fue modificada, es posible realizar una restauración completa de los datos realizando un borrado completo de la base de datos y una actualización completa de todos los componentes. Este problema se solucionó en el commit con ID 5ae9ca83b73. La versión 1.0.1 contiene el parche. Si los usuarios no pueden actualizar inmediatamente, se pueden aplicar los siguientes wokarounds: (1.) Utilice un proxy para descartar siempre la cookie `search_history` hasta que se actualice. El impacto en la experiencia del usuario es bajo. (2.) desinfectar el valor de la cookie `search_history` después de decodificarla en base64.

Nextcloud es un software de nube privada de código abierto. Las versiones 24.0.4 y posteriores, anteriores a la 24.0.7, y 25.0.0 y posteriores, anteriores a la 25.0.1, contienen control de acceso inadecuado. La vista segura de recursos compartidos internos se puede eludir si también se otorgan permisos para compartir. Este problema se solucionó en las versiones 24.0.7 y 25.0.1. No hay wordkarounds.

Nextcloud es un software de nube privada de código abierto. Las versiones 25.0.0 y superiores, anteriores a la 25.0.3, están sujetas al Consumo Incontrolado de Recursos. Un usuario puede configurar una contraseña muy larga, consumiendo más recursos de los deseados en la validación de contraseña. Este problema se solucionó en 25.0.3. No hay ningún workaround disponible.

LiteDB es una base de datos integrada .NET NoSQL pequeña, rápida y liviana. Las versiones anteriores a la 5.0.13 están sujetas a la deserialización de datos que no son de confianza. LiteDB utiliza un campo especial en documentos JSON para convertir diferentes tipos, desde `BsonDocument` a clases POCO. Cuando las instancias de un objeto no son las mismas que las de una clase, `BsonMapper` usa un campo especial `_type` con información de cadena con el nombre completo de la clase con el ensamblaje que se cargará y se ajustará a su modelo. Si su usuario final puede enviar a su aplicación una cadena JSON simple, la deserialización puede cargar un objeto inseguro para que quepa en su modelo. Este problema se solucionó en la versión 5.0.13 con algunas correcciones básicas para evitarlo, pero no está 100% garantizado cuando se usa el tipo "Objeto". La próxima versión principal contendrá una lista de permitidos para seleccionar qué tipo de ensamblaje se puede cargar. Los workarounds se detallan en el aviso para proveedores.