Vulnerabilidades

ClearanceKit intercepta eventos de acceso al sistema de archivos en macOS y aplica políticas de acceso por proceso. En versiones de la rama 4.1 y anteriores, la extensión de sistema de seguridad de punto final opfilter aplicaba la política de acceso a archivos exclusivamente interceptando eventos ES_EVENT_TYPE_AUTH_OPEN. Siete tipos de eventos de operación de archivo adicionales no eran interceptados, permitiendo que cualquier proceso ejecutándose localmente eludiera la política FAA configurada sin activar una denegación. El commit a3d1733 añade suscripciones para los siete tipos de eventos y los enruta a través del evaluador de políticas FAA existente. AUTH_RENAME y AUTH_UNLINK adicionalmente preservan la detección de cambios de XProtect: los eventos en la ruta de XProtect son permitidos y activan la devolución de llamada onXProtectChanged existente en lugar de ser evaluados contra la política de usuario. Todas las versiones de la rama 4.2 contienen la corrección. No se conocen soluciones alternativas disponibles.

ClearanceKit intercepta eventos de acceso al sistema de archivos en macOS y aplica políticas de acceso por proceso. Antes de la versión 4.2.4, dos tipos de eventos de operación de archivo — ES_EVENT_TYPE_AUTH_EXCHANGEDATA y ES_EVENT_TYPE_AUTH_CLONE — no eran interceptados por la extensión de sistema opfilter de ClearanceKit, permitiendo que los procesos locales eludieran las políticas de acceso a archivos. El commit 6181c4a corrige la vulnerabilidad al suscribirse a ambos tipos de eventos y enrutándolos a través del evaluador de políticas existente. Los usuarios deben actualizar a la v4.2.4 o posterior y reactivar la extensión de sistema.

InvenTree es un Sistema de Gestión de Inventario de Código Abierto. Antes de la versión 1.2.6, ciertos endpoints de la API asociados con operaciones de datos masivas pueden ser secuestrados para exfiltrar información sensible de la base de datos. Los endpoints de la API de operaciones masivas (por ejemplo, `/api/part/`, `/api/stock/`, `/api/order/so/allocation/`, y otros) aceptan un parámetro 'filters' que se pasa directamente a `queryset.filter(**filters)` del ORM de Django sin ninguna lista blanca de campos. Esto permite a cualquier usuario autenticado recorrer relaciones de modelos usando la sintaxis de búsqueda `__` de Django y realizar extracción de datos ciega basada en booleanos. Este problema está parcheado en la versión 1.2.6, y 1.3.0 (o superior). Los usuarios deben actualizar a las versiones parcheadas. No se conocen soluciones alternativas disponibles.

InvenTree es un Sistema de Gestión de Inventario de Código Abierto. Antes de la versión 1.2.6, una vulnerabilidad de salto de ruta en el motor de plantillas de informes permite a un usuario con nivel de personal leer archivos arbitrarios del sistema de archivos del servidor mediante etiquetas de plantilla manipuladas. Funciones afectadas: `encode_svg_image()`, `asset()` y `uploaded_image()` en `src/backend/InvenTree/report/templatetags/report.py`. Esto requiere acceso de personal (para cargar / editar plantillas con etiquetas creadas maliciosamente). Si la instalación de InvenTree está configurada con altos privilegios de acceso en el sistema anfitrión, este salto de ruta puede permitir el acceso a archivos fuera del directorio fuente de InvenTree. Este problema está parcheado en la versión 1.2.6, y 1.3.0 (o superior). Los usuarios deben actualizar a las versiones parcheadas. No se conocen soluciones alternativas disponibles.

ImageMagick es un software libre y de código abierto utilizado para editar y manipular imágenes digitales. Antes de 7.1.2-18 y 6.9.13-43, debido a un valor de retorno incorrecto en ciertas plataformas, un puntero se incrementa más allá del final de un búfer que está en la pila y eso podría resultar en una escritura fuera de límites. Las versiones 7.1.2-18 y 6.9.13-43 parchean el problema.

ImageMagick es un software libre y de código abierto utilizado para editar y manipular imágenes digitales. Antes de 7.1.2-18 y 6.9.13-43, existía una escritura fuera de límites de un byte cero en la ruta de interacción 'display' de X11 que podría provocar un fallo. Las versiones 7.1.2-18 y 6.9.13-43 parchean el problema.

`yaml` es un analizador y serializador YAML para JavaScript. Analizar un documento YAML con una versión de `yaml` en la rama 1.x anterior a la 1.10.3 o en la rama 2.x anterior a la 2.8.3 puede lanzar un RangeError debido a un desbordamiento de pila. La fase de resolución/composición de nodos utiliza llamadas a funciones recursivas sin un límite de profundidad. Un atacante que puede proporcionar YAML para el análisis puede desencadenar un 'RangeError: Maximum call stack size exceeded' con una pequeña carga útil (~2–10 KB). El `RangeError` no es un `YAMLParseError`, por lo que las aplicaciones que solo capturan errores específicos de YAML encontrarán un tipo de excepción inesperado. Dependiendo del manejo de excepciones de la aplicación anfitriona, esto puede hacer que fallen las solicitudes o terminar el proceso de Node.js. Las secuencias de flujo permiten un anidamiento profundo con bytes mínimos (2 bytes por nivel: uno '[' y uno ']'). En la pila predeterminada de Node.js, aproximadamente 1,000–5,000 niveles de anidamiento (entrada de 2–10 KB) agotan la pila de llamadas. El umbral exacto depende del entorno (versión de Node.js, tamaño de la pila, profundidad de la pila de llamadas en la invocación). Nota: el `Parser` de la biblioteca (fase CST) utiliza un enfoque iterativo basado en pila y no se ve afectado. Solo la fase de composición/resolución utiliza recursión real de la pila de llamadas. Las tres API de análisis públicas se ven afectadas: `YAML.parse()`, `YAML.parseDocument()` y `YAML.parseAllDocuments()`. Las versiones 1.10.3 y 2.8.3 contienen un parche.

Zoraxy es una herramienta de proxy inverso HTTP y reenvío de propósito general. Antes de la versión 3.3.2, una vulnerabilidad de salto de ruta autenticado en el endpoint de importación de configuración permite a un usuario autenticado escribir archivos arbitrarios fuera del directorio de configuración, lo que puede llevar a RCE mediante la creación de un plugin. La versión 3.3.2 corrige el problema.

GoDoxy es un proxy inverso y orquestador de contenedores para autoalojadores. Antes de la versión 0.27.5, el endpoint de la API de contenido de archivos en '/api/v1/file/content' es vulnerable a salto de ruta. El parámetro de consulta 'filename' se pasa directamente a 'path.Join(common.ConfigBasePath, filename)' donde 'ConfigBasePath = "config"' (una ruta relativa). No se aplica ninguna sanitización ni validación más allá de verificar que el campo no esté vacío ('binding:"required"'). Un atacante autenticado puede usar secuencias '../' para leer o escribir archivos fuera del directorio 'config/' previsto, incluyendo claves privadas TLS, tokens de actualización de OAuth y cualquier archivo accesible al UID del contenedor. La versión 0.27.5 soluciona el problema.

Authelia es un servidor de autenticación y autorización de código abierto que proporciona autenticación de dos factores e inicio de sesión único (SSO) para aplicaciones a través de un portal web. En la versión 4.39.15, un atacante podría potencialmente inyectar javascript en la página de inicio de sesión de Authelia si se cumplen varias condiciones simultáneamente. A menos que se hayan modificado las directivas 'script-src' y 'connect-src', es casi imposible que esto tenga un impacto significativo. Sin embargo, si ambas lo están y se hacen sin considerar su impacto potencial; hay situaciones en las que esta vulnerabilidad podría ser explotada. Esto se debe a la falta de neutralización del valor de la cookie 'langauge' al renderizar la plantilla HTML. Es probable que esta vulnerabilidad sea difícil de descubrir mediante la toma de huellas digitales debido a la forma en que está diseñada Authelia, pero no debe considerarse imposible. El requisito adicional para identificar la aplicación secundaria, sin embargo, es probable que sea significativamente más difícil de identificar junto con esto, pero también probablemente más fácil de identificar mediante la toma de huellas digitales. Los usuarios deben actualizar a la versión 4.39.16 o degradar a la 4.39.14 para mitigar el problema. La abrumadora mayoría de las instalaciones no se verán afectadas y no son necesarias soluciones alternativas. El valor predeterminado de la Política de Seguridad de Contenido (Content Security Policy) hace que explotar esta debilidad sea completamente imposible. Solo es posible mediante la eliminación deliberada de la Política de Seguridad de Contenido o la inclusión deliberada de políticas inseguras claramente señaladas.

El decodificador msgpack no valida correctamente la longitud del búfer de entrada al procesar datos fixext truncados (códigos de formato 0xd4-0xd8). Esto puede provocar una lectura fuera de límites y un pánico en tiempo de ejecución, lo que permite un ataque de denegación de servicio.

La función Eliminar no valida correctamente los desplazamientos al procesar una entrada JSON malformada. Esto puede provocar un índice de segmento negativo y un pánico en tiempo de ejecución, permitiendo un ataque de denegación de servicio.