Vulnerabilidades

gradle-completion proporciona soporte de autocompletado para Bash y Zsh para Gradle. Una vulnerabilidad de inyección de comandos fue encontrada en gradle-completion hasta la versión 9.3.0 inclusive que permite la ejecución de código arbitrario cuando un usuario activa el autocompletado de tabulación de Bash en un proyecto que contiene un archivo de compilación Gradle malicioso. El script 'gradle-completion' para Bash no logra sanitizar adecuadamente los nombres y descripciones de las tareas de Gradle, permitiendo la inyección de comandos a través de un archivo de compilación Gradle malicioso cuando el usuario completa un comando en Bash (sin que ejecuten explícitamente ninguna tarea en la compilación). Por ejemplo, dada una descripción de tarea que incluye una cadena entre comillas invertidas, entonces esa cadena sería evaluada como un comando al presentar la descripción de la tarea en la lista de autocompletado. Si bien la ejecución de tareas es la característica principal de Gradle, esta ejecución inherente puede llevar a resultados inesperados. La vulnerabilidad no afecta al autocompletado de zsh. La primera versión parcheada es la 9.3.1. Como solución alternativa, es posible y efectivo deshabilitar temporalmente el autocompletado de Bash para Gradle eliminando 'gradle-completion' de '.bashrc' o '.bash_profile'.

Inspektor Gadget es un conjunto de herramientas y un framework para la recopilación de datos e inspección de sistemas en clústeres de Kubernetes y hosts Linux usando eBPF. El binario `ig` proporciona un subcomando para la construcción de imágenes, utilizado para generar imágenes OCI de gadgets personalizadas. Una parte de esta funcionalidad está implementada en el archivo `inspektor-gadget/cmd/common/image/build.go`. El archivo `Makefile.build` es la plantilla de Makefile empleada durante el proceso de construcción. Este archivo incluye datos controlados por el usuario de manera insegura; específicamente, algunos parámetros se incrustan sin un escape adecuado en los comandos dentro del Makefile. Antes de la versión 0.48.1, esta implementación es vulnerable a inyección de comandos: un atacante capaz de controlar valores en la estructura `buildOptions` podría ejecutar comandos arbitrarios durante el proceso de construcción. Un atacante capaz de explotar esta vulnerabilidad podría ejecutar comandos arbitrarios en el host Linux donde se lanza el comando `ig`, si las imágenes se construyen con la bandera `--local` o en el contenedor de construcción invocado por `ig`, si la bandera `--local` no se proporciona. La estructura `buildOptions` se extrae del manifiesto YAML del gadget pasado al comando `ig image build`. Por lo tanto, el atacante necesitaría una forma de controlar el archivo `build.yml` completo pasado al comando `ig image build`, o una de sus opciones. Típicamente, esto podría ocurrir en un escenario de CI/CD que construye gadgets no confiables para verificar su corrección. La versión 0.48.1 corrige el problema.

Kimi Agent SDK es un conjunto de librerías que exponen el tiempo de ejecución del agente Kimi Code (Kimi CLI) en aplicaciones. Los scripts vsix-publish.js y ovsx-publish.js pasan nombres de archivo a execSync() como cadenas de comandos de shell. Antes de la versión 0.1.6, los nombres de archivo que contenían metacaracteres de shell como $(cmd) podían ejecutar comandos arbitrarios. Nota: Esta vulnerabilidad existe solo en los scripts de desarrollo del repositorio. La extensión de VSCode publicada no incluye estos archivos y los usuarios finales no se ven afectados. Esto se corrige en la versión 0.1.6 reemplazando execSync por execFileSync usando argumentos de matriz. Como solución alternativa, asegúrese de que los archivos .vsix en el directorio del proyecto tengan nombres de archivo seguros antes de ejecutar los scripts de publicación.

Se detectó una vulnerabilidad en D-Link DWR-M961 1.1.47. El elemento afectado es la función sub_4250E0 del archivo /boafrm/formSmsManage del componente SMS Message. Realizar una manipulación del argumento action_value resulta en inyección de comandos. El ataque puede iniciarse de forma remota. El exploit ya es público y puede ser utilizado.

malcontent descubre compromisos en la cadena de suministro a través de contexto, análisis diferencial y YARA. A partir de la versión 0.10.0 y antes de la versión 1.20.3, malcontent podría ser forzado a exponer credenciales del registro de Docker si escaneaba una referencia de imagen OCI especialmente diseñada. malcontent utiliza google/go-containerregistry para extracciones de imágenes OCI, que por defecto usa el llavero de credenciales de Docker. Un registro malicioso podría devolver un encabezado 'WWW-Authenticate' redirigiendo la autenticación de tokens a un punto final controlado por el atacante, lo que provocaría que las credenciales se enviaran a ese punto final. La versión 1.20.3 soluciona el problema al establecer la autenticación anónima por defecto para las extracciones OCI.

malcontent descubre compromisos en la cadena de suministro a través de contexto, análisis diferencial y YARA. A partir de la versión 1.8.0 y antes de la versión 1.20.3, se podía hacer que malcontent creara enlaces simbólicos fuera del directorio de extracción previsto al escanear un archivo tar o deb especialmente diseñado. La función 'handleSymlink' recibió argumentos en el orden incorrecto, lo que provocaba que el destino del enlace simbólico se utilizara como la ubicación del enlace simbólico. Además, los destinos de los enlaces simbólicos no se validaban para asegurar que se resolvieran dentro del directorio de extracción. La versión 1.20.3 introduce correcciones que intercambian los argumentos de 'handleSymlink', validan la ubicación del enlace simbólico y validan los destinos de los enlaces simbólicos que se resuelven dentro de un directorio de extracción.

TrustTunnel es un protocolo VPN de código abierto con una falsificación de petición del lado del servidor y una omisión de restricción de red privada en versiones anteriores a la 0.9.114. En 'tcp_forwarder.rs', la protección SSRF para 'allow_private_network_connections = false' solo se aplicó en la ruta 'TcpDestination::HostName(peer)'. La ruta 'TcpDestination::Address(peer) => peer' procedió a 'TcpStream::connect()' sin comprobaciones equivalentes (por ejemplo, 'is_global_ip', 'is_loopback'), permitiendo que se alcanzaran objetivos de bucle invertido/privados al proporcionar una IP numérica. La vulnerabilidad está corregida en la versión 0.9.114.

Una inyección de código en Ivanti Endpoint Manager Mobile que permite a los atacantes lograr ejecución remota de código no autenticada.

Una inyección de código en Ivanti Endpoint Manager Mobile que permite a los atacantes lograr ejecución remota de código no autenticada.

Una vulnerabilidad de seguridad ha sido detectada en D-Link DWR-M961 1.1.47. El elemento afectado es una función desconocida del archivo /boafrm/formLtefotaUpgradeFibocom. Dicha manipulación del argumento fota_url conduce a inyección de comandos. El ataque puede ser lanzado remotamente. El exploit ha sido divulgado públicamente y puede ser utilizado.

Se ha identificado una debilidad en Totolink A7000R 4.1cu.4154. La función afectada es setUpgradeFW del archivo /cgi-bin/cstecgi.cgi. Esta manipulación del argumento FileName causa inyección de comandos. El ataque puede ser iniciado remotamente. El exploit ha sido puesto a disposición del público y podría ser usado para ataques.

Tanium abordó una vulnerabilidad de controles de acceso inadecuados en Interact.