Vulnerabilidades

Se ha encontrado una vulnerabilidad en libvips hasta la versión 8.18.0. El elemento afectado es la función vips_foreign_load_matrix_file_is_a/vips_foreign_load_matrix_header del archivo libvips/foreign/matrixload.c. Al manipularlo se puede provocar una corrupción de memoria. El ataque debe lanzarse localmente. Este parche se llama d4ce337c76bff1b278d7085c3c4f4725e3aa6ece. Se debe aplicar un parche para remediar este problema.

Se ha encontrado una vulnerabilidad en libvips hasta la versión 8.18.0. El elemento afectado es la función vips_foreign_load_matrix_header del archivo libvips/foreign/matrixload.c. Si se manipula se provoca una desreferencia de puntero nulo. El ataque debe realizarse localmente. El identificador del parche es d4ce337c76bff1b278d7085c3c4f4725e3aa6ece. Para solucionar este problema, se recomienda desplegar el parche.

TypiCMS es un sistema de gestión de contenido multilingüe basado en el framework Laravel. Existe una vulnerabilidad de Cross-Site Scripting (XSS) almacenado en el módulo de carga de archivos de TypiCMS anterior a la versión 16.1.7. La aplicación permite a los usuarios con permisos de carga de archivos subir archivos SVG. Aunque existe una validación de tipo MIME, el contenido del archivo SVG no se sanea. Un atacante puede subir un archivo SVG especialmente diseñado que contenga código JavaScript malicioso. Cuando otro usuario (como un administrador) ve o accede a este archivo a través de la aplicación, el script se ejecuta en su navegador, lo que lleva a un compromiso de la sesión de ese usuario. El problema se exacerba por un error en la lógica de análisis de SVG, que puede causar un error 500 si el SVG subido no contiene un atributo 'viewBox'. Sin embargo, esto no mitiga la vulnerabilidad XSS, ya que un atacante puede incluir fácilmente un atributo 'viewBox' válido en su carga útil maliciosa. La versión 16.1.7 de TypiCMS Core corrige el problema.

OliveTin da acceso a comandos de shell predefinidos desde una interfaz web. En versiones hasta la 3000.10.0 inclusive, la comprobación de seguridad del modo shell de OliveTin ('checkShellArgumentSafety') bloquea varios tipos de argumentos peligrosos, pero no 'password'. Un usuario que proporciona un argumento de tipo 'password' puede inyectar metacaracteres de shell que ejecutan comandos arbitrarios del sistema operativo. Un segundo vector independiente permite RCE no autenticada a través de valores JSON extraídos de webhooks que omiten por completo las comprobaciones de seguridad de tipo antes de llegar a 'sh -c'. Al explotar el vector 1, cualquier usuario autenticado (registro habilitado por defecto, 'authType: none' por defecto) puede ejecutar comandos arbitrarios del sistema operativo en el host de OliveTin con los permisos del proceso de OliveTin. Al explotar el vector 2, un atacante no autenticado puede lograr lo mismo si la instancia recibe webhooks de fuentes externas, lo cual es un caso de uso principal de OliveTin. Cuando un atacante explota ambos vectores, esto resulta en RCE no autenticada en cualquier instancia de OliveTin que utiliza el modo Shell con acciones activadas por webhook. En el momento de la publicación, no hay disponible una versión parcheada.

pypdf es una librería PDF de Python puro, gratuita y de código abierto. Antes de la versión 6.7.2, un atacante que utiliza esta vulnerabilidad puede crear un PDF que conduce a un bucle infinito. Esto requiere leer el archivo. Esto ha sido corregido en pypdf 6.7.2. Como solución alternativa, se puede aplicar el parche manualmente.

InvenTree es un Sistema de Gestión de Inventario de Código Abierto. Antes de la versión 1.2.3, las plantillas inseguras del lado del servidor pueden ser secuestradas para exponer información segura al cliente. Al generar códigos de lote personalizados, el servidor InvenTree utiliza una plantilla jinja2 personalizable, que puede ser modificada por un usuario del personal para exfiltrar información sensible o realizar ejecución de código en el servidor. Este problema requiere acceso por parte de un usuario con permisos de personal concedidos, seguido de una solicitud para generar un código de lote personalizado a través de la API. Una vez que la plantilla ha sido modificada de manera maliciosa, otros usuarios podrían llamar a la API para generar un nuevo código de lote, y el código de la plantilla se ejecutará con su contexto de usuario. El código ha sido parcheado para asegurar que toda la generación de plantillas se realice dentro de un contexto seguro en un entorno aislado. Este problema ha sido abordado en la versión 1.2.3, y en cualquier versión a partir de la 1.3.0. Hay disponibles algunas soluciones alternativas. La plantilla de código de lote es una configuración global configurable que puede ser ajustada por cualquier usuario con acceso de personal. Para evitar que esta configuración sea editada, puede ser anulada a nivel de sistema a un valor predeterminado, evitando que sea editada. Esto requiere acceso de administrador de sistema, y no puede ser cambiado desde el lado del cliente una vez que el servidor está en funcionamiento. Se recomienda que para las instalaciones de InvenTree anteriores a la 1.2.3, se anulen las configuraciones globales 'STOCK_BATCH_CODE_TEMPLATE' y 'PART_NAME_FORMAT' a nivel de sistema para evitar su edición.

Talishar es un proyecto de Flesh and Blood hecho por fans. Antes del commit 6be3871a14c192d1fb8146cdbc76f29f27c1cf48, la aplicación Talishar carece de protecciones contra falsificación de petición en sitios cruzados (CSRF) en endpoints críticos que cambian el estado, específicamente dentro de 'SubmitChat.php' y otros manejadores de interacción del juego. Al no requerir tokens de sesión únicos e impredecibles, la aplicación permite a sitios web maliciosos de terceros falsificar peticiones en nombre de usuarios autenticados, lo que lleva a acciones no autorizadas dentro de sesiones de juego activas. El atacante necesitaría conocer tanto el gameName como el playerID correctos para el jugador. El jugador también necesitaría estar navegando e interactuando con el sitio web infectado mientras juega una partida. La vulnerabilidad está corregida en el commit 6be3871a14c192d1fb8146cdbc76f29f27c1cf48.

Parse Dashboard es un panel de control independiente para gestionar aplicaciones de Parse Server. En las versiones 7.3.0-alpha.42 hasta la 9.0.0-alpha.7, el endpoint de la API del Agente de IA ('POST /apps/:appId/agent') carece de protección CSRF. Un atacante puede crear una página maliciosa que, al ser visitada por un usuario autenticado del panel de control, envía solicitudes al endpoint del agente utilizando la sesión de la víctima. La corrección en la versión 9.0.0-alpha.8 añade middleware CSRF al endpoint del agente e incrusta un token CSRF en la página del panel de control. Como solución alternativa, elimine el bloque de configuración 'agent' de su configuración del panel de control. Los paneles de control sin una configuración 'agent' no se ven afectados.

Parse Dashboard es un panel de control independiente para gestionar aplicaciones de Parse Server. En las versiones 7.3.0-alpha.42 hasta la 9.0.0-alpha.7, el `ConfigKeyCache` utiliza la misma clave de caché tanto para la clave maestra como para la clave maestra de solo lectura al resolver claves de tipo función. Bajo condiciones de tiempo específicas, un usuario de solo lectura puede recibir la clave maestra completa en caché, o un usuario regular puede recibir la clave maestra de solo lectura en caché. La corrección en la versión 9.0.0-alpha.8 utiliza claves de caché distintas para la clave maestra y la clave maestra de solo lectura. Como solución alternativa, evite usar claves maestras de tipo función, o elimine el bloque de configuración `agent` de la configuración de su panel de control.

FileBrowser Quantum es un gestor de archivos gratuito, autoalojado y basado en web. Antes de las versiones 1.1.3-stable y 1.2.6-beta, cuando los usuarios comparten archivos protegidos con contraseña, el destinatario puede omitir completamente la contraseña y aun así descargar el archivo. Esto ocurre porque la API devuelve un enlace de descarga directa en los detalles del recurso compartido, que es accesible para cualquiera con SOLO EL ENLACE COMPARTIDO, incluso sin la contraseña. Las versiones 1.1.3-stable y 1.2.6-beta solucionan el problema.

Repostat es un componente de React para obtener y mostrar información de repositorios de GitHub. Antes de la versión 1.0.1, el componente 'RepoCard' es vulnerable a cross-site scripting (XSS) reflejado. La vulnerabilidad ocurre porque el componente utiliza `dangerouslySetInnerHTML` de React para renderizar el nombre del repositorio (propiedad 'repo') durante el estado de carga sin ninguna sanitización. Si un desarrollador que utiliza este paquete pasa una entrada de usuario no validada directamente a la propiedad 'repo' (por ejemplo, leyéndola de un parámetro de consulta de URL), un atacante puede ejecutar JavaScript arbitrario en el contexto del navegador del usuario. En la versión 1.0.1, se ha eliminado el uso de `dangerouslySetInnerHTML`, y la propiedad 'repo' ahora se renderiza de forma segura utilizando el enlace de datos JSX estándar de React, que escapa automáticamente las entidades HTML.

Bugsink es una herramienta de seguimiento de errores autoalojada. En versiones anteriores a la 2.0.13, un atacante no autenticado que puede enviar eventos a un proyecto de Bugsink puede almacenar JavaScript arbitrario en un evento. La carga útil se ejecuta solo si un usuario ve explícitamente el Stacktrace afectado en la interfaz de usuario web. Cuando Pygments devuelve más líneas de las que se le dieron (una peculiaridad conocida de la fuente que se activa con entrada de estilo heredoc de Ruby), '_pygmentize_lines()' en 'theme/templatetags/issues.py:75-77' recurre a devolver las líneas de entrada sin procesar. 'mark_safe()' en las líneas 111-113 se aplica entonces incondicionalmente, incluso a esas líneas sin procesar no saneadas. Dado que los endpoints DSN son públicos según el protocolo Sentry, no se necesita una cuenta para inyectar. La carga útil permanece en la base de datos hasta que un administrador mira el evento. Para explotarlo con éxito es preciso que el atacante pueda enviar eventos al proyecto (es decir, conozca el DSN o pueda acceder a un cliente que lo use), que el punto final de ingesta de Bugsink sea accesible para el atacante, y que un administrador vea explícitamente el evento manipulado en la interfaz de usuario. Bajo esas condiciones, el atacante puede ejecutar JavaScript en el navegador del administrador y actuar con los privilegios de ese usuario dentro de Bugsink. La versión 2.0.13 corrige la vulnerabilidad.