Vulnerabilidades

Una Desreferencia de Puntero Caducada en el repositorio GitHub radareorg/radare2 versiones anteriores a 5.6.2

Grafana es una plataforma de código abierto para la monitorización y la observabilidad. Las versiones afectadas de Grafana exponen varios endpoints de la API que no manejan apropiadamente la autorización del usuario. El punto API "/teams/:teamId" permitirá a un atacante autenticado visualizar datos no deseados al consultar por el ID del equipo específico, "/teams/:search" permitirá a un atacante autenticado buscar equipos y visualizar el número total de equipos disponibles, incluyendo aquellos equipos a los que el usuario no presenta acceso, y "/teams/:teamId/members" cuando el flag editors_can_admin está habilitada, un atacante autenticado puede visualizar datos no deseados al consultar por el ID del equipo específico. Se recomienda a usuarios actualizar lo antes posible. No hay medidas de mitigación adicionales conocidas para este problema

Un Desbordamiento del Búfer en la región Heap de la Memoria en el repositorio GitHub radareorg/radare2versiones anteriores a 5.6.2

Un Acceso al Búfer con un Valor de Longitud Incorrecto en el repositorio de GitHub radareorg/radare2 versiones anteriores a 5.6.2

Un Uso de Memoria Previamente Liberada en NPM radare2.js versiones anteriores a 5.6.2

Un Acceso a la Ubicación de la Memoria Después del Final del Búfer en el repositorio de GitHub radareorg/radare2 versiones anteriores a 5.6.2

Grafana es una plataforma de código abierto para la monitorización y la observabilidad. En las versiones afectadas, un atacante podría servir contenido HTML mediante la fuente de datos de Grafana o el proxy del plugin y engañar a un usuario para que visite esta página HTML usando un enlace especialmente diseñado y ejecutar un ataque de tipo Cross-site Scripting (XSS). El atacante podría comprometer una fuente de datos existente para una instancia específica de Grafana o bien configurar su propio servicio público e instruir a cualquiera para que lo configure en su instancia de Grafana. Para ser impactado, todo lo siguiente debe ser aplicable. Para el proxy de la fuente de datos: Una fuente de datos basada en HTTP de Grafana configurada con Servidor como Modo de Acceso y una URL establecida, el atacante debe estar en control del servidor HTTP que sirve la URL de dicha fuente de datos, y un enlace especialmente diseñado que apunte a la fuente de datos controlada por el atacante debe ser pulsado por un usuario autenticado. Para el plugin proxy: Un plugin de Grafana basado en HTTP configurado y habilitado con un conjunto de URL, el atacante debe estar en control del servidor HTTP que sirve la URL de la aplicación anterior, y un enlace especialmente diseñado que apunte al plugin controlado por el atacante debe ser marcado por un usuario autenticado. Para el recurso del plugin backend: Un atacante debe ser capaz de dirigir a un usuario autenticado a un plugin comprometido mediante un enlace diseñado. Es recomendado a usuarios actualizar a una versión parcheada. No hay medidas de mitigación adicionales conocidas para esta vulnerabilidad

Un Uso de Memoria Previamente Liberada en el repositorio GitHub radareorg/radare2 versiones anteriores a 5.6.0

Gitea versiones anteriores a 1.4.3, está afectada por un Redireccionamiento de URLs a Sitios no Confiables ("Open Redirect") por medio de URLs internas

TP-Link WR886N versión 3.0 1.0.1 Build 150127 Rel.34123n es vulnerable a un desbordamiento del búfer. Los atacantes autenticados pueden bloquear los servicios httpd del router por medio de una petición /userRpm/PingIframeRpm.htm que contiene un redundante & en un parámetro

Una vulnerabilidad de tipo Cross-site Scripting (XSS) - Reflejado en Packagist pimcore/pimcore versiones anteriores a 10.3.1

Se presenta una vulnerabilidad de tipo Cross Site Request Forgery (CSRF) en Gitea versiones anteriores a 1.5.2, por medio de las rutas de la API. Esto puede ser peligroso especialmente con peticiones POST que alteran el estado