Vulnerabilidades

Craft es un sistema de gestión de contenido (CMS). En las versiones 4.5.0-RC1 a 4.16.18 y 5.0.0-RC1 a 5.8.22, existe una vulnerabilidad de cross-site scripting (XSS) almacenado en el componente 'editableTable.twig' al usar el tipo de columna 'html'. La aplicación no sanitiza la entrada, permitiendo a un atacante ejecutar JavaScript arbitrario cuando otro usuario ve una página con el campo de tabla malicioso. Para explotar la vulnerabilidad, un atacante debe tener una cuenta de administrador, y 'allowAdminChanges' debe estar habilitado en producción, lo cual va en contra de las recomendaciones de seguridad de Craft. Las versiones 4.16.19 y 5.8.23 parchean el problema.

Craft es un sistema de gestión de contenidos (CMS). En las versiones 4.5.0-RC1 a 4.16.18 y 5.0.0-RC1 a 5.8.22, existe una condición de carrera Time-of-Check-Time-of-Use (TOCTOU) en el servicio de validación de tokens de Craft CMS para tokens que establecen explícitamente un uso limitado. El método `getTokenRoute()` lee el recuento de uso de un token, verifica si está dentro de los límites y luego actualiza la base de datos en operaciones no atómicas separadas. Al enviar solicitudes concurrentes, un atacante puede usar un token de suplantación de un solo uso varias veces antes de que se complete la actualización de la base de datos. Para que esto funcione, un atacante necesita obtener una URL de suplantación de cuenta de usuario válida con un token no caducado por otros medios y explotar una condición de carrera mientras elude cualquier regla de limitación de velocidad existente. Para que esto sea una escalada de privilegios, la URL de suplantación debe incluir un token para una cuenta de usuario con más permisos que el usuario actual. Las versiones 4.16.19 y 5.8.23 aplican un parche al problema.

Craft es un sistema de gestión de contenido (CMS). En las versiones 4.5.0-RC1 hasta 4.16.18 y 5.0.0-RC1 hasta 5.8.22, la validación de SSRF en la mutación GraphQL Asset de Craft CMS utiliza `gethostbyname()`, que solo resuelve direcciones IPv4. Cuando un nombre de host tiene solo registros AAAA (IPv6), la función devuelve la propia cadena del nombre de host, lo que hace que la comparación de la lista de bloqueo siempre falle y omita completamente la protección SSRF. Esto es una omisión de la corrección de seguridad para CVE-2025-68437. La explotación requiere permisos de esquema GraphQL para editar activos en el volumen '' y crear activos en el volumen ''. Estos permisos pueden ser otorgados a usuarios autenticados con acceso apropiado al esquema GraphQL y/o al Esquema Público (si está mal configurado con permisos de escritura). Las versiones 4.16.19 y 5.8.23 parchean el problema.

Se ha identificado una vulnerabilidad en Alinto SOGo 5.12.3/5.12.4. Esto afecta a una función desconocida. Manipular el argumento 'hint' puede provocar un cross-site scripting. El ataque puede ser iniciado en remoto. El exploit está disponible públicamente y podría ser utilizado. El proveedor fue contactado con antelación sobre esta divulgación, pero no respondió de ninguna manera.

ImageMagick es un software libre y de código abierto utilizado para editar y manipular imágenes digitales. Antes de las versiones 7.1.2-15 y 6.9.13-40, ImageMagick carece de una comprobación de límites adecuada al procesar datos codificados con Huffman de archivos PCD (Photo CD). El decodificador contiene una función que tiene una inicialización incorrecta que podría causar una lectura fuera de límites. Las versiones 7.1.2-15 y 6.9.13-40 contienen un parche.

ImageMagick es software libre y de código abierto utilizado para editar y manipular imágenes digitales. Antes de las versiones 7.1.2-15 y 6.9.13-40, una sentencia 'continue' en el bucle de búsqueda binaria de extensión JPEG en el codificador jpeg causa un bucle infinito cuando la escritura falla persistentemente. Un atacante puede desencadenar un consumo del 100% de la CPU y un cuelgue del proceso (Denegación de Servicio) con una imagen manipulada. Las versiones 7.1.2-15 y 6.9.13-40 contienen un parche.

OpenEXR proporciona la especificación y la implementación de referencia del formato de archivo EXR, un formato de almacenamiento de imágenes para la industria cinematográfica. En las versiones 3.3.0 a 3.3.6 y 3.4.0 a 3.4.4, ocurre un desbordamiento de búfer de pila (lectura fuera de límites) en la función `istream_nonparallel_read` en `ImfContextInit.cpp` al analizar un archivo EXR malformado a través de un `IStream` mapeado en memoria. Una resta de enteros con signo produce un valor negativo que se convierte implícitamente a `size_t`, lo que resulta en una longitud masiva que se pasa a `memcpy`. Las versiones 3.3.7 y 3.4.5 contienen un parche.

yt-dlp es un descargador de audio/vídeo de línea de comandos. A partir de la versión 2023.06.21 y antes de la versión 2026.02.21, cuando se utiliza la opción de línea de comandos '--netrc-cmd' de yt-dlp (o el parámetro de API de Python 'netrc_cmd'), un atacante podría lograr una inyección de comandos arbitraria en el sistema del usuario con una URL creada maliciosamente. Los encargados del mantenimiento de yt-dlp asumen que el impacto de esta vulnerabilidad es alto para cualquiera que use '--netrc-cmd' en su comando/configuración o 'netrc_cmd' en sus scripts de Python. Aunque la URL creada maliciosamente en sí parecerá muy sospechosa para muchos usuarios, sería trivial explotar encubiertamente esta vulnerabilidad a través de una redirección HTTP para una página web creada maliciosamente con una URL discreta . Los usuarios sin '--netrc-cmd' en sus argumentos o 'netrc_cmd' en sus scripts no se ven afectados. No se ha encontrado evidencia de que este exploit se esté utilizando. La versión 2026.02.21 de yt-dlp soluciona este problema validando todos los valores de 'machine' de netrc y generando un error ante una entrada inesperada. Como solución alternativa, los usuarios que no puedan actualizarse deben evitar usar la opción de línea de comandos '--netrc-cmd' (o el parámetro de API de Python 'netrc_cmd'), o al menos no deben pasar un marcador de posición ('{}') en su argumento '--netrc-cmd'.

Ormar es un mini ORM asíncrono para Python. En las versiones 0.9.9 a 0.22.0, al realizar consultas agregadas, Ormar ORM construye expresiones SQL pasando los nombres de columna proporcionados por el usuario directamente a `sqlalchemy.text()` sin ninguna validación o saneamiento. Los métodos `min()` y `max()` en la clase `QuerySet` aceptan una entrada de cadena arbitraria como parámetro de columna. Mientras que `sum()` y `avg()` están parcialmente protegidos por una verificación de tipo `is_numeric` que rechaza campos inexistentes, `min()` y `max()` omiten esta validación por completo. Como resultado, una cadena controlada por el atacante se incrusta como SQL sin procesar dentro de la llamada a la función agregada. Cualquier usuario no autorizado puede explotar esta vulnerabilidad para leer todo el contenido de la base de datos, incluidas las tablas no relacionadas con el modelo consultado, inyectando una subconsulta como parámetro de columna. La versión 0.23.0 contiene un parche.

ImageMagick es un software libre y de código abierto utilizado para editar y manipular imágenes digitales. Antes de las versiones 7.1.2-15 y 6.9.13-40, un perfil manipulado que contiene datos IPTC no válidos puede causar un bucle infinito al escribirlo con 'IPTCTEXT'. Las versiones 7.1.2-15 y 6.9.13-40 contienen un parche.

ImageMagick es software libre y de código abierto utilizado para editar y manipular imágenes digitales. Antes de las versiones 7.1.2-15 y 6.9.13-40, un archivo SVG manipulado puede causar una denegación de servicio. Una comprobación de límite 'off-by-one' (' > ' en lugar de ' >= ') que permite eludir la protección y alcanzar una conversión '(size_t)' indefinida. Las versiones 7.1.2-15 y 6.9.13-40 contienen un parche.

Una vulnerabilidad de desreferencia de puntero nulo en el programa CGI de Wake-on-LAN de la versión de firmware Zyxel VMG3625-T50B hasta la 5.50(ABPM.9.6)C0 y las versiones de firmware Zyxel WX3100-T0 hasta la 5.50(ABVL.4.8)C0 podría permitir a un atacante autenticado con privilegios de administrador desencadenar una condición de denegación de servicio (DoS) al enviar una solicitud HTTP manipulada.