Vulnerabilidades

Wasmtime es un entorno de ejecución para WebAssembly. A partir de Wasmtime 39.0.0, la característica 'component-model-async' se convirtió en la predeterminada, lo que trajo consigo una nueva implementación de '[Typed]Func::call_async' que la hizo capaz de llamar a funciones de exportación de invitado de tipo asíncrono. Sin embargo, esa implementación tenía un error que provocaba un pánico bajo ciertas circunstancias: Primero, la incrustación anfitriona llama a '[Typed]Func::call_async' en una función exportada por un componente, sondeando la 'Future' devuelta una vez. Segundo, la función del componente cede el control al entorno de ejecución asíncrono (por ejemplo, Tokio), por ejemplo, debido a una llamada a una función anfitriona registrada usando 'LinkerInstance::func_wrap_async' que cede, o debido a una interrupción de época. Tercero, la incrustación anfitriona descarta la 'Future' después de sondearla una vez. Esto deja la instancia del componente en un estado no reentrante ya que la llamada nunca tuvo la oportunidad de completarse. Cuarto, la incrustación anfitriona llama de nuevo a '[Typed]Func::call_async', sondeando la 'Future' devuelta. Dado que la instancia del componente no puede ser accedida en este punto, la llamada atrapa, pero no antes de asignar una tarea y un hilo para la llamada. Quinto, la incrustación anfitriona ignora la trampa y descarta la 'Future'. Esto provoca un pánico debido a que el entorno de ejecución intenta disponer de la tarea creada anteriormente, lo que provoca un pánico ya que el hilo aún no ha salido. Cuando un incrustador anfitrión que utiliza las versiones afectadas de Wasmtime llama a 'wasmtime::component::[Typed]Func::call_async' en una exportación de invitado y luego descarta la 'Future' devuelta sin esperar a que se resuelva, y luego lo hace de nuevo con la misma instancia del componente, Wasmtime entrará en pánico. Las incrustaciones que tienen la característica 'component-model-async' en tiempo de compilación deshabilitada no se ven afectadas. Wasmtime 40.0.4 y 41.0.4 han sido parcheadas para solucionar este problema. Las versiones 42.0.0 y posteriores no se ven afectadas. Si una incrustación no está utilizando realmente ninguna característica de component-model-async, entonces deshabilitar la característica Cargo 'component-model-async' puede solucionar este problema. Este problema también puede solucionarse asegurando que cada 'Future' de 'call_async' sea esperada hasta que se complete o absteniéndose de usar el 'Store' de nuevo después de descartar una 'Future' de 'call_async' aún no resuelta.

Wasmtime es un entorno de ejecución para WebAssembly. Antes de las versiones 24.0.6, 36.0.6, 4.0.04, 41.0.4 y 42.0.0, la implementación de Wasmtime de las interfaces de host WASI es susceptible al agotamiento de recursos controlado por el invitado en el host. Wasmtime no estableció adecuadamente límites en las asignaciones de recursos solicitadas por los invitados. Esto sirve como un vector de denegación de servicio. Se han lanzado las versiones Wasmtime 24.0.6, 36.0.6, 40.0.4, 41.0.4 y 42.0.0 con la corrección de este problema. Estas versiones no previenen este problema en su configuración predeterminada para evitar romper comportamientos preexistentes. Todas las versiones de Wasmtime tienen controles apropiados para prevenir este comportamiento, y Wasmtime 42.0.0 y posteriores tendrán estos controles ajustados por defecto para evitar que este problema ocurra. No hay soluciones alternativas conocidas para este problema sin actualizar. Se recomienda a los integradores actualizar y configurar sus incrustaciones según sea necesario para evitar que invitados posiblemente maliciosos exploten este problema.

Wasmtime es un entorno de ejecución para WebAssembly. Antes de las versiones 24.0.6, 36.0.6, 4.0.04, 41.0.4 y 42.0.0, la implementación de Wasmtime del recurso `wasi:http/types.fields` es susceptible a panics cuando se añaden demasiados campos al conjunto de cabeceras. La implementación de Wasmtime en el crate `wasmtime-wasi-http` está respaldada por una estructura de datos que entra en pánico cuando alcanza una capacidad excesiva. Esta condición no se manejó convenientemente en Wasmtime. Entrar en pánico en una implementación de WASI es un vector de denegación de servicio para los integradores y se trata como una vulnerabilidad de seguridad en Wasmtime. Wasmtime 24.0.6, 36.0.6, 40.0.4, 41.0.4 y 42.0.0 aplican un parche a esta vulnerabilidad y devuelven una trampa al invitado en lugar de entrar en pánico. No hay soluciones alternativas conocidas en este momento. Se anima a los integradores a actualizar a una versión de Wasmtime con parche.

Statmatic es un sistema de gestión de contenido (CMS) impulsado por Laravel y Git. Antes de las versiones 6.3.3 y 5.73.10, un atacante podría aprovechar una vulnerabilidad en la función de restablecimiento de contraseña para capturar el token de un usuario y restablecer la contraseña en su nombre. El atacante debe conocer la dirección de correo electrónico de una cuenta válida en el sitio, y el usuario real debe hacer clic ciegamente en el enlace de su correo electrónico aunque no haya solicitado el restablecimiento. Esto ha sido corregido en 6.3.3 y 5.73.10.

Fiber es un framework web inspirado en Express escrito en Go. Una vulnerabilidad de salto de ruta (CWE-22) en Fiber permite a un atacante remoto eludir el saneador del middleware estático y leer archivos arbitrarios en el sistema de archivos del servidor en Windows. Esto afecta a Fiber v3 hasta la versión 3.0.0. Esto ha sido parcheado en Fiber v3 versión 3.1.0.

Fiber es un framework web inspirado en Express escrito en Go. En versiones de la rama v3 anteriores a la 3.1.0, el uso de la 'cookie' fiber_flash puede forzar una asignación ilimitada en cualquier servidor. Un valor de cookie manipulado de 10 caracteres desencadena un intento de asignar hasta 85 GB de memoria a través de una deserialización msgpack no validada. No se requiere autenticación. Cada endpoint de GoFiber v3 se ve afectado independientemente de si la aplicación utiliza mensajes flash. La versión 3.1.0 corrige el problema.

Las versiones de EventSentry anteriores a la 6.0.1.20 contienen una vulnerabilidad de cambio de contraseña no verificado en la funcionalidad de gestión de cuentas de la interfaz de Informes Web. El mecanismo de cambio de contraseña no requiere la validación de la contraseña actual antes de permitir que se establezca una nueva contraseña. Un atacante que obtenga acceso temporal a una sesión de usuario autenticado puede cambiar la contraseña de la cuenta sin conocer las credenciales originales. Esto permite la toma de control persistente de la cuenta y, si esto afecta a las cuentas de administrador, puede resultar en escalada de privilegios.

Fiber es un framework web inspirado en Express escrito en Go. Existe una vulnerabilidad de denegación de servicio en Fiber v2 y v3 que permite a atacantes remotos bloquear la aplicación enviando solicitudes a rutas con más de 30 parámetros. La vulnerabilidad resulta de la falta de validación durante el registro de rutas combinada con una escritura de array sin límites durante la coincidencia de solicitudes. La versión 2.52.12 corrige el problema en la rama v2 y la 3.1.0 corrige el problema en la rama v3.

Todas las versiones de InSAT MasterSCADA BUK-TS son susceptibles a la inyección de comandos del sistema operativo a través de un campo en su interfaz web MMadmServ. Los usuarios malintencionados que utilizan el endpoint vulnerable son potencialmente capaces de provocar una ejecución remota de código.

InSAT MasterSCADA BUK-TS es susceptible a inyección SQL a través de su interfaz web principal. Los usuarios maliciosos que utilizan el endpoint vulnerable son, potencialmente, capaces de causar ejecución remota de código.

Una vulnerabilidad de cross-site scripting (XSS) en una página de inicio personalizada de FileMaker WebDirect podría conducir a acceso no autorizado y ejecución remota de código. Esta vulnerabilidad ha sido completamente abordada en FileMaker Server 22.0.4 y FileMaker Server 21.1.7.

Resumen:<br /> Este aviso aborda una vulnerabilidad de inyección SQL en el endpoint de la API utilizado para recuperar actividades de contacto. Existe una vulnerabilidad en la construcción de la consulta para la línea de tiempo de Actividad de Contacto donde el parámetro responsable de determinar la dirección de ordenación no fue validado estrictamente contra una lista de permitidos, permitiendo potencialmente a usuarios autenticados inyectar comandos SQL arbitrarios a través de la API.<br /> <br /> Mitigación:<br /> Por favor, actualice a 4.4.19, 5.2.10, 6.0.8, 7.0.1 o posterior.<br /> <br /> Soluciones provisionales:<br /> Ninguna.<br /> <br /> Referencias:<br /> Si tiene alguna pregunta o comentario sobre este aviso:<br /> Escriba un correo electrónico a security@mautic.org