Vulnerabilidades

Parse Server es un backend de código abierto que puede implementarse en cualquier infraestructura que pueda ejecutar Node.js. El método 'explain()' de MongoDB proporciona información detallada sobre los planes de ejecución de consultas, incluyendo el uso de índices, el comportamiento de escaneo de colecciones y las métricas de rendimiento. Antes de la versión 8.5.0-alpha.5, Parse Server permite a cualquier cliente ejecutar consultas explain sin requerir la clave maestra. Esto expone la estructura del esquema de la base de datos y los nombres de los campos, las configuraciones de índices y los detalles de optimización de consultas, las estadísticas de ejecución de consultas y las métricas de rendimiento, y posibles vectores de ataque para la explotación del rendimiento de la base de datos. En la versión 8.5.0-alpha.5, se ha introducido una nueva opción de configuración 'databaseOptions.allowPublicExplain' que permite restringir las consultas 'explain' a la clave maestra. La opción por defecto es 'true' por ahora para evitar un cambio disruptivo en los sistemas de producción que dependen de la disponibilidad pública de 'explain'. Además, se registra una advertencia de seguridad cuando la opción no se establece explícitamente, o se establece en 'true'. En una futura versión principal de Parse Server, el valor por defecto cambiará a 'false'. Como solución alternativa, implemente middleware para bloquear las consultas explain de solicitudes sin clave maestra, o monitoree y alerte sobre el uso de consultas explain en entornos de producción.

*** Pendiente de traducción *** Combodo iTop is a web based IT service management tool. Versions prior to 2.7.13 and 3.2.2 are vulnerable to a cross-site scripting attack (leading to JS execution) when editing the URL parameter. Versions 2.7.13 and 3.2.2 don't use export.php, which was deprecated. They use export-v2.php instead.

changedetection.io es una herramienta de detección de cambios en páginas web de código abierto gratuita. Un Cross-Site Scripting Almacenado está presente en la API de actualización de Watch de changedetection.io en versiones anteriores a la 0.50.34 debido a comprobaciones de seguridad insuficientes. Dos escenarios son posibles. En el primero, un atacante puede insertar un nuevo watch con una URL arbitraria que realmente apunta a una página web. Una vez que se recupera el contenido HTML, el atacante actualiza la URL con una carga útil de JavaScript. En el segundo, un atacante sustituye la URL en un watch existente con una nueva URL que es en realidad una carga útil de JavaScript. Cuando el usuario hace clic en *Preview* y luego en el enlace malicioso, se ejecuta el código malicioso de JavaScript. La versión 0.50.34 corrige el problema.

La validación de entrada inadecuada en OneFlow v0.9.0 permite a los atacantes causar un fallo de segmentación mediante la adición de una secuencia de Python al código nativo durante la difusión/conversión de tipos.

OpenEXR proporciona la especificación y la implementación de referencia del formato de archivo EXR, un formato de almacenamiento de imágenes para la industria cinematográfica. En las versiones 3.3.0 a 3.3.5 y 3.4.0 a 3.4.2, al realizar fuzzing en 'openexr_exrcheck_fuzzer', Valgrind informa una bifurcación condicional que depende de datos no inicializados dentro de 'generic_unpack'. Esto indica un uso de memoria no inicializada. El problema puede resultar en un comportamiento indefinido y/o un posible crash/denegación de servicio. Las versiones 3.3.6 y 3.4.3 solucionan el problema.

*** Pendiente de traducción *** Combodo iTop is a web based IT service management tool. In versions prior to 2.7.13 and 3.2.2, a user that has enough rights to create webhooks (mostly administrators) can drop the database. This is fixed in iTop 2.7.13 and 3.2.2 by verifying callback signature.

*** Pendiente de traducción *** Combodo iTop is a web based IT service management tool. In versions on the 3.x branch prior to 3.2.2, an insecure direct object reference allows a user (e.g. with Service desk agent profile) to create a ModuleInstallation object when they shouldn't be able to do so. Version 3.2.2 fixes the issue.

*** Pendiente de traducción *** Combodo iTop is a web based IT service management tool. Versions prior to 2.7.13 and 3.2.2 are vulnerable to cross-site scripting when a field with an error contains malicious content. Versions 2.7.13 and 3.2.2 protect rendered HTML content.

El firmware v33.53.87 de la cámara de seguridad inteligente KERUI K259 5MP Wi-Fi / Tuya contiene una vulnerabilidad de ejecución de código en su lógica de arranque/actualización: durante el arranque, /usr/sbin/anyka_service.sh escanea las tarjetas TF/SD montadas y, si /mnt/update.nor.sh está presente, lo copia a /tmp/net.sh y lo ejecuta como root.

ktg-mes anterior al commit a484f96 (2025-07-03) tiene una vulnerabilidad de deserialización de fastjson. Esto se debe a que utiliza una versión vulnerable de fastjson y deserializa datos de entrada inseguros.

*** Pendiente de traducción *** Combodo iTop is a web based IT service management tool. In versions prior to 3.2.2, when displaying content in a browse brick in the user portal, a cross-site scripting attack can occur. This is fixed in versions 3.2.2 and 3.3.0.

Se descubrió una vulnerabilidad en RISC-V Rocket-Chip v1.6 y versiones anteriores, donde la instrucción SRET (Supervisor-mode Exception Return) no logra transicionar correctamente el nivel de privilegio del procesador. En lugar de bajar de categoría desde el modo Máquina (M-mode) a modo Supervisor (S-mode) según lo especificado por el bit sstatus.SPP, el procesador permanece incorrectamente en M-mode, lo que lleva a una vulnerabilidad crítica de retención de privilegios.