Vulnerabilidades

Se ha detectado que School Activity Updates with SMS Notification versión v1.0, contiene una vulnerabilidad de inyección SQL por medio del componente /modules/modstudent/index.php?view=edit&id=

XWiki Platform Wiki UI Main Wiki es un software para administrar subwikis en XWiki Platform, una plataforma wiki genérica. A partir de la versión 5.3-milestone-2 y anteriores a 13.10.6 y 14.4, es posible inyectar sintaxis wiki arbitraria, incluidas macros de secuencias de comandos de Groovy, Python y Velocity por medio de la petición (parámetro de URL) utilizando "XWikiServerClassSheet" si el usuario presenta acceso de visualización a esta hoja y otra página que ha sido guardada con derechos de programación, una condición estándar en una instalación de XWiki pública de solo lectura o una instalación de XWiki privada donde el usuario presenta una cuenta. Esto permite una ejecución arbitraria de código Groovy/Python/Velocity, lo que permite omitir todas las verificaciones de derechos y, por lo tanto, modificar y divulgar todo el contenido almacenado en la instalación de XWiki. Además, esto podría usarse para afectar la disponibilidad de la wiki. Esto ha sido parcheado en las versiones 13.10.6 y 14.4. Como mitigación, edite el documento afectado "XWiki.XWikiServerClassSheet" o "WikiManager.XWikiServerClassSheet" y realice manualmente los cambios del parche que corrigen el problema. En XWiki versiones 12.0 y posteriores, también es posible importar el documento "XWiki.XWikiServerClassSheet" desde el paquete xwiki-platform-wiki-ui-mainwiki versión 14.4 usando la función de importación de la aplicación de administración ya que no ha habido otros cambios en este documento desde XWiki versión 12.0

XWiki Platform Applications Tag y XWiki Platform Tag UI son aplicaciones de etiquetas para XWiki, una plataforma wiki genérica. A partir de la versión 1.7 en XWiki Platform Applications Tag y anteriores a 13.10.6 y 14.4 en XWiki Platform Tag UI, el documento de etiquetas "Main.Tags" en XWiki no saneaba apropiadamente las entradas del usuario. Esto permitió a usuarios con derechos de visualización en el documento (predeterminado en un wiki público o para usuarios autenticados en wikis privados) ejecutar código Groovy, Python y Velocity arbitrario con derechos de programación. Esto también permitió omitir todas las verificaciones de derechos y, por lo tanto, la modificación y divulgación de todo el contenido almacenado en la instalación de XWiki. La vulnerabilidad podría usarse para afectar la disponibilidad de la wiki. En XWiki versiones anteriores a 13.10.4 y la 14.2, esto puede combinarse con CVE-2022-36092, lo que significa que no son requeridos derechos para realizar el ataque. La vulnerabilidad ha sido parcheada en versiones 13.10.6 y 14.4. Como mitigación, el parche que corrige el problema puede aplicarse manualmente al documento "Main.Tags" o la versión actualizada de ese documento puede importarse desde la versión 14.4 de xwiki-platform-tag-ui usando la funcionalidad import en la Interfaz de Usuario de administración en XWiki versión 10.9 y posterior

XWiki Platform Index UI es un índice de todas las páginas, archivos adjuntos, páginas huérfanas y eliminadas y archivos adjuntos para la plataforma XWiki, una plataforma wiki genérica. En versiones anteriores a 13.10.6 y 14.3, es posible almacenar JavaScript que ejecutará cualquiera que visualice el índice de archivos adjuntos eliminados con un archivo adjunto que contenga javascript en su nombre. Este problema ha sido parcheado en XWiki versiones 13.10.6 y 14.3. Como mitigación, corrija y modifique la vulnerabilidad al editar la página wiki "XWiki.DeletedAttachments" con el editor de objetos, abra el objeto "JavaScriptExtension" y aplique en el contenido los cambios que pueden encontrarse en la confirmación de corrección

XWiki Platform es una plataforma wiki genérica. En versiones anteriores a 13.10.5 y 14.3, era posible llevar a cabo un ataque de tipo Cross-Site Request Forgery (CSRF) para agregar o eliminar etiquetas en las páginas de XWiki. El problema ha sido parcheado en XWiki versiones 13.10.5 y 14.3. Como mitigación, uno puede modificar localmente la plantilla "documentTags.vm" en el sistema de archivos de uno, para aplicar los cambios expuestos allí

XWiki Platform Web Parent POM contiene recursos web para la plataforma XWiki, una plataforma wiki genérica. A partir de la versión 1.0 y en versiones anteriores a 13.10.6 y 14.30-rc-1, es posible almacenar JavaScript que ejecutará cualquiera que visualice el historial de un archivo adjunto que contenga javascript en su nombre. Este problema ha sido parcheado en XWiki versiones 13.10.6 y 14.3RC1. Como mitigación, es posible reemplazar "viewattachrev.vm", el punto de entrada de este ataque, por una versión parcheada del parche sin actualizar XWiki

Una Restricción Inapropiada de Marcos o Capas de Interfaz de Usuario Renderizados en el repositorio de GitHub ikus060/rdiffweb versiones anteriores a 2.4.1

XWiki Platform Old Core es un paquete central para XWiki Platform, una plataforma wiki genérica. En versiones anteriores a 14.2 y 13.10.4, todas las verificaciones de derechos que normalmente impedirían que un usuario visualice un documento en un wiki pueden omitirse mediante la acción de inicio de sesión y las plantillas especificadas directamente. Esto expone el título, el contenido y los comentarios de cualquier documento y las propiedades de los objetos, aunque es debido conocer el nombre de la clase y la propiedad. Esto también es explotable en wikis privados. Esto ha sido corregido en versiones 14.2 y 13.10.4, al verificar apropiadamente los derechos de visualización antes de cargar documentos y al rechazar las plantillas no predeterminadas en la acción de inicio de sesión, registro y máscara. Como mitigación, sería posible proteger todas las plantillas individualmente al agregar código para verificar primero los derechos de acceso

XWiki Platform Web Templates son plantillas para la plataforma XWiki, una plataforma wiki genérica. Al pasar una plantilla del asistente de distribución a la plantilla xpart, pueden crearse cuentas de usuario incluso cuando el registro de usuario está deshabilitado. Esto también omite cualquier verificación de correo electrónico. En versiones anteriores a 14.2 y 13.10.4, esto también puede explotarse en una wiki privada, potencialmente dándole al atacante acceso a la wiki. Dependiendo de los derechos predeterminados configurados de usuarios, esto también podría dar a atacantes acceso de escritura a un wiki público de solo lectura. También pueden crearse usuarios cuando es configurado un sistema de autenticación externo como LDAP, pero la autenticación falla a menos que el sistema de autenticación admita una omisión/cuentas locales habilitadas además del sistema de autenticación externo. Este problema fue parcheado en XWiki versiones 13.10.5 y 14.3RC1. Como mitigación, puede sustituirse "xpart.vm", el punto de entrada de este ataque, por una versión parcheada del parche sin actualizar XWiki

Se ha detectado que TastyIgniter versión v3.5.0, presenta una vulnerabilidad de tipo cross-site scripting (XSS) que permite a atacantes ejecutar secuencias de comandos web arbitrarias o HTML por medio de una carga útil manipulada

Una vulnerabilidad de inclusión de archivos locales (LFI) en D-Link DIR 819 versión v1.06, permite a atacantes provocar una Denegación de Servicio (DoS) o acceder a información confidencial del servidor mediante la manipulación del parámetro getpage en una petición web manipulada

Se ha detectado que Interview Management System versión v1.0, contiene una vulnerabilidad de inyección SQL por medio del componente /interview/delete.php?action=questiondelete&id=