Vulnerabilidades

Framework web Svelte orientado al rendimiento. Antes de la versión 5.53.5, los errores de `transformError` no se escapaban correctamente antes de ser incrustados en la salida HTML, lo que causaba una posible inyección HTML y XSS si el contenido controlado por el atacante se devuelve desde `transformError`. La versión 5.53.5 corrige el problema.

minimatch es una utilidad de coincidencia mínima para convertir expresiones glob en objetos RegExp de JavaScript. Antes de las versiones 10.2.3, 9.0.7, 8.0.6, 7.4.8, 6.2.2, 5.1.8, 4.2.5 y 3.1.4, los extglobs anidados '*( )' producen regexps con cuantificadores anidados ilimitados (por ejemplo, '(?:(?:a|b)*)*'), que exhiben retroceso catastrófico en V8. Con un patrón de 12 bytes '*(*(*(a|b)))' y una entrada no coincidente de 18 bytes, 'minimatch()' se detiene durante más de 7 segundos. Añadir un solo nivel de anidamiento o unos pocos caracteres de entrada eleva esto a minutos. Este es el hallazgo más grave: se activa por la API predeterminada de 'minimatch()' sin opciones especiales, y el patrón mínimo viable es de solo 12 bytes. El mismo problema afecta a los extglobs '+()' por igual. Las versiones 10.2.3, 9.0.7, 8.0.6, 7.4.8, 6.2.2, 5.1.8, 4.2.5 y 3.1.4 solucionan el problema.

WPGraphQL proporciona una API GraphQL para sitios de WordPress. Antes de la versión 2.9.1, el repositorio 'wp-graphql/wp-graphql' contiene un flujo de trabajo de GitHub Actions ('release.yml') vulnerable a la inyección de comandos del sistema operativo mediante el uso directo de '${{ github.event.pull_request.body }}' dentro de un bloque de shell 'run:'. Cuando se fusiona una solicitud de extracción de 'develop' a 'master', el cuerpo de la PR se inyecta textualmente en un comando de shell, lo que permite la ejecución arbitraria de comandos en el ejecutor de Actions. La versión 2.9.1 contiene una solución para la vulnerabilidad.

WireGuard Portal (o wg-portal) es un portal de configuración basado en web para la gestión de servidores WireGuard. Antes de la versión 2.1.3, cualquier usuario autenticado no administrador puede convertirse en un administrador completo enviando una única solicitud PUT a su propio endpoint de perfil de usuario con 'IsAdmin': true en el cuerpo JSON. Después de cerrar y volver a iniciar sesión, la sesión adquiere privilegios de administrador de la base de datos. Cuando un usuario actualiza su propio perfil, el servidor analiza el cuerpo JSON completo en el modelo de usuario, incluyendo el campo booleano IsAdmin. Una función responsable de preservar atributos calculados o protegidos fija ciertos campos a sus valores de base de datos (como datos del modelo base, recuento de pares vinculados y datos de autenticación), pero no lo hace para IsAdmin. Como resultado, cualquier valor que el cliente envíe para IsAdmin se escribe directamente en la base de datos. Después del exploit, el atacante tiene acceso de administrador completo al portal de gestión de VPN de WireGuard. El problema se solucionó en la v2.1.3. Las imágenes de docker para la etiqueta 'latest' construidas desde la rama master también incluyen la solución.

Framework web Svelte orientado al rendimiento. Antes de la versión 5.53.5, el contenido de `bind:innerText` y `bind:textContent` en elementos `contenteditable` no se escapaba correctamente. Esto podría permitir la inyección de HTML y cross-site scripting (XSS) si se renderizaban datos no confiables como el valor inicial del enlace en el servidor. La versión 5.53.5 corrige el problema.

El proveedor de Terraform para Linode versiones anteriores a la v3.9.0 registró información sensible, incluyendo algunas contraseñas, contenido de StackScript y datos de almacenamiento de objetos, en los registros de depuración sin redacción. El registro de depuración del proveedor no está habilitado por defecto. Este problema se expone cuando los registros de depuración/proveedor se habilitan explícitamente (por ejemplo, en la resolución de problemas local, trabajos de CI/CD o recolección centralizada de registros). Si está habilitado, los valores sensibles pueden escribirse en los registros y luego retenerse, compartirse o exportarse más allá del entorno de ejecución original. Un usuario autenticado con acceso a los registros de depuración del proveedor (a través de sistemas de agregación de registros, pipelines de CI/CD o salida de depuración) podría así extraer estas credenciales sensibles. Las versiones 3.9.0 y posteriores sanean los registros de depuración registrando solo metadatos no sensibles como etiquetas, regiones e IDs de recursos, mientras redactan credenciales, tokens, claves, scripts y otro contenido sensible. Algunas otras mitigaciones y soluciones alternativas están disponibles. Deshabilite el registro de depuración de Terraform/proveedor o configúrelo al nivel WARN o superior, restrinja el acceso a los registros existentes e históricos, purgue/recorte por retención los registros que puedan contener valores sensibles, y/o rote los secretos/credenciales potencialmente expuestos.

Bitnami Sealed Secrets es vulnerable a un ataque de ampliación de alcance durante el flujo de rotación de secretos (/v1/rotate). El gestor de rotación deriva el alcance de sellado para la salida recién cifrada de anotaciones no confiables spec.template.metadata.annotations presentes en el SealedSecret de entrada. Al enviar un SealedSecret víctima al endpoint de rotación con la anotación sealedsecrets.bitnami.com/cluster-wide=true inyectada en los metadatos de la plantilla, un atacante remoto puede obtener una versión rotada del secreto que es a nivel de clúster. Esto elude las restricciones originales 'strict' o 'namespace-wide', permitiendo al atacante reorientar y desellar el secreto en cualquier espacio de nombres o bajo cualquier nombre para recuperar las credenciales en texto plano.

Spin es una herramienta de desarrollo de código abierto para construir y ejecutar aplicaciones sin servidor impulsadas por WebAssembly. Cuando Spin está configurado para permitir conexiones a una base de datos o servidor web que podría devolver respuestas de tamaño ilimitado (p. ej., tablas con muchas filas o cuerpos de contenido grandes), Spin puede, en algunos casos, intentar almacenar en búfer la respuesta completa antes de entregarla al invitado, lo que puede llevar a que el proceso anfitrión se quede sin memoria, entre en pánico y se bloquee. Además, una aplicación invitada maliciosa podría insertar incrementalmente un gran número de filas o valores en una base de datos y luego recuperarlos todos en una sola consulta, lo que llevaría a grandes asignaciones del anfitrión. Spin 3.6.1, SpinKube 0.6.2 y 'containerd-shim-spin' 0.22.1 han sido parcheados para abordar el problema. Como solución alternativa, configure Spin para permitir el acceso solo a bases de datos y servidores HTTP de confianza que limiten los tamaños de respuesta.

El plugin WP Responsive Images para WordPress es vulnerable a salto de ruta en todas las versiones hasta la 1.0, inclusive, a través del parámetro 'src'. Esto permite a atacantes no autenticados leer el contenido de archivos arbitrarios en el servidor, que pueden contener información sensible.

pypdf es una biblioteca PDF de Python puro, gratuita y de código abierto. Antes de la versión 6.7.3, un atacante que utiliza esta vulnerabilidad puede crear un PDF que provoca el agotamiento de la RAM. Esto requiere acceder a la propiedad 'xfa' de un lector o escritor y que el flujo correspondiente esté comprimido usando '/FlateDecode'. Esto ha sido corregido en pypdf 6.7.3. Como solución alternativa, aplique el parche manualmente.

ZITADEL es una plataforma de gestión de identidades de código abierto. Antes de las versiones 4.11.1 y 3.4.7, una vulnerabilidad en la capacidad de autogestión de Zitadel permitía a los usuarios marcar su correo electrónico y teléfono como verificados sin pasar por un proceso de verificación real. El parche en las versiones 4.11.1 y 3.4.7 resuelve el problema al requerir el permiso correcto en caso de que se proporcione la bandera de verificación y solo permite la autogestión de la propia dirección de correo electrónico y/o número de teléfono. Si una actualización no es posible, se podría usar una acción (v2) para evitar establecer la bandera de verificación en el propio usuario.

ZITADEL es una plataforma de gestión de identidad de código abierto. Zitadel Action V2 (introducida como vista previa temprana en 2.59.0, beta en 3.0.0 y GA en 4.0.0) es un enfoque basado en webhooks para permitir a los desarrolladores actuar sobre peticiones API a Zitadel y personalizar flujos como la emisión de un token. Las URL de destino de las acciones de Zitadel pueden apuntar a hosts locales, lo que potencialmente permite a los adversarios recopilar información de la red interna y conectarse a servicios internos. Cuando la URL apunta a un host local / dirección IP, un adversario podría recopilar información sobre la estructura de la red interna, los servicios expuestos en hosts internos, etc. Esto a veces se denomina falsificación de petición del lado del servidor (SSRF). Las acciones de Zitadel esperan respuestas según esquemas específicos, lo que reduce el vector de amenaza. El parche en la versión 4.11.1 resuelve el problema comprobando la URL de destino contra una lista de denegación. Por defecto, localhost, resp. las IP de bucle invertido son denegadas. Tenga en cuenta que esta corrección solo se lanzó en v4.x. Debido a la etapa (vista previa / beta) en la que se encontraba la funcionalidad en v2.x y v3.x, los cambios que se le han aplicado desde entonces y la gravedad, respectivamente el vector de amenaza real, una retrocompatibilidad a las versiones correspondientes no fue factible. Consulte la sección de solución alternativa para soluciones alternativas si una actualización a v4.x no es posible. Si una actualización no es posible, evite que las acciones utilicen puntos finales no deseados configurando políticas de red o reglas de cortafuegos en la propia infraestructura. Tenga en cuenta que esto está fuera de la funcionalidad proporcionada por Zitadel.