Vulnerabilidades

"@npmcli/arborist", la librería que calcula los trees de dependencia y maneja la jerarquía de carpetas "node_modules" para la interfaz de línea de comandos de npm, presenta como objetivo garantizar que los contratos de dependencia de los paquetes se cumplan, y que la extracción de los contenidos de los paquetes sea llevada a cabo siempre en la carpeta esperada. Esto es conseguido, en parte, al resolver los especificadores de dependencia definidos en los manifiestos "package.json" para las dependencias con un nombre específico, y anidando las carpetas para resolver las dependencias conflictivas. Cuando las dependencias múltiples difieren sólo en el caso de su nombre, la estructura de datos interna de Arborist las veía como elementos separados que podían coexistir dentro del mismo nivel en la jerarquía "node_modules". Sin embargo, en los sistemas de archivos que no distinguen entre mayúsculas y minúsculas (como macOS y Windows), esto no es así. Combinado con una dependencia de symlink como "file:/some/path", esto permitía a un atacante crear una situación en la que se podían escribir contenidos arbitrarios en cualquier ubicación del sistema de archivos. Por ejemplo, un paquete "pwn-a" podría definir una dependencia en su archivo "package.json" como ""foo": "file:/some/path"". Otro paquete, "pwn-b" podría definir una dependencia como "FOO: "file:foo.tgz"". En los sistemas de archivos que no distinguen entre mayúsculas y minúsculas, si se instalara "pwn-a" y luego se instalara "pwn-b", el contenido de "foo.tgz" se escribiría en "/some/path", y cualquier contenido existente de "/some/path" se eliminaría. Cualquiera usando npm versiones v7.20.6 o anteriores en un sistema de archivos que no distinga entre mayúsculas y minúsculas está potencialmente afectado. Esto está parcheado en @npmcli/arborist 2.8.2 que se incluye en npm versiones v7.20.7 y superiores

El paquete npm "tar" (también se conoce como node-tar) versiones anteriores a 4.4.16, 5.0.8 y 6.1.7, presenta una vulnerabilidad de creación y escritura excesiva de archivos arbitrarios y de ejecución de código arbitrario. node-tar pretende garantizar que no se extraiga ningún archivo cuya ubicación sería modificada por un enlace simbólico. Esto es conseguido, en parte, asegurando que los directorios extraídos no sean enlaces simbólicos. Además, para evitar llamadas innecesarias a las estadísticas para determinar si una ruta dada es un directorio, las rutas son almacenadas en caché cuando los directorios son creados. Esta lógica era insuficiente cuando se extraían archivos tar que contenían tanto un directorio como un enlace simbólico con el mismo nombre que el directorio, donde los nombres de los enlaces simbólicos y de los directorios en la entrada del archivo usaban barras invertidas como separador de rutas en los sistemas posix. La lógica de comprobación de la caché usaba tanto los caracteres "\" como "/" como separadores de ruta, sin embargo "\" es un carácter de nombre de archivo válido en los sistemas posix. Al crear primero un directorio, y luego sustituyendo ese directorio por un enlace simbólico, era posible omitir las comprobaciones de enlaces simbólicos de node-tar en los directorios, permitiendo esencialmente que un archivo tar no confiable hiciera un enlace simbólico en una ubicación arbitraria y que posteriormente extrajera archivos arbitrarios en esa ubicación, permitiendo así la creación y escritura excesiva arbitraria de archivos. Además, una confusión similar podría surgir en los sistemas de archivos que no distinguen entre mayúsculas y minúsculas. Si un archivo tar contiene un directorio en "FOO", seguido de un enlace simbólico llamado "foo", entonces en los sistemas de archivos no sensibles a las mayúsculas y minúsculas, la creación del enlace simbólico eliminaría el directorio del sistema de archivos, pero no de la caché interna de directorios, ya que no se trataría como un golpe de caché. Una entrada de archivo posterior dentro del directorio "FOO" se colocaría entonces en el objetivo del enlace simbólico, pensando que el directorio ya había sido creado. Estos problemas se han solucionado en las versiones 4.4.16, 5.0.8 y 6.1.7. La rama v3 de node-tar ha quedado obsoleta y no ha recibido parches para estos problemas. Si todavía está usando una versión v3, le recomendamos que actualice a una versión más reciente de node-tar. Si esto no es posible, hay una solución disponible en la referencia GHSA-9r2w-394v-53qc

Se ha detectado una Vulnerabilidad de Escalada de Privilegios por inyección SQL en la plataforma Orion, reportada por el Equipo de ZDI. Una inyección SQL booleana ciega que podría conllevar a una lectura y escritura completa sobre el contenido de la base de datos de Orion, incluyendo el certificado de Orion, para cualquier usuario autenticado

Tizen RT RTOS versión 3.0.GBB, es vulnerable a una envoltura de enteros en las funciones functions_calloc y mm_zalloc. Esta asignación de memoria inapropiada puede conllevar a una asignación de memoria arbitraria, resultando en un comportamiento inesperado, como un bloqueo

Una vulnerabilidad encontrada en la aplicación UniFi Protect versiones V1.18.1 y anteriores, permite a un actor malicioso que ya ha conseguido acceso a una red controlar posteriormente la(s) cámara(s) Protect asignada(s) a dicha red. Esta vulnerabilidad es corregida en la aplicación UniFi Protect versiones V1.19.0 y posteriores

Se presenta una divulgación de información en Brave Browser Desktop versiones anteriores a 1.28.62, donde se registraban mensajes de advertencia que incluían marcas de tiempo de conexiones a dominios V2 onion en tor.log

Una vulnerabilidad encontrada en la aplicación UniFi Protect versiones V1.18.1 y anteriores, permite a un actor malicioso con un rol de sólo vista y acceso a la red alcanzar los mismos privilegios que el propietario de la aplicación UniFi Protect. Esta vulnerabilidad es corregida en la aplicación UniFi Protect versiones V1.19.0 y posteriores

Se presenta una vulnerabilidad de corrupción de memoria en la funcionalidad XML-parsing CreateLabelOrAttrib de Xmill versión 0.7 de AT&T Labs. Un archivo XML especialmente diseñado puede conllevar a un desbordamiento del búfer de la pila. Un atacante puede proporcionar un archivo malicioso para desencadenar esta vulnerabilidad

El Servidor de Archivos Serv-U permite auditar eventos como los fallos de inicio de sesión de los usuarios mediante la ejecución de un comando. Este comando puede ser suministrado con parámetros que pueden tomar la forma de variables de cadena de usuario, permitiendo la ejecución remota de código

Un investigador de seguridad almacenó un ataque de tipo XSS por medio de una configuración del Servidor de Ayuda. Esto afecta a clientes usando Internet Explorer, porque no soportan "rel=noopener"

Un investigador de seguridad ha detectado que un usuario con derechos de administración de mapas de Orion podía almacenar una vulnerabilidad de tipo XSS mediante un hipervínculo de cuadro de texto

Matrix es un ecosistema para la Mensajería Instantánea federada abierta y Voz sobre IP. En versiones 1.41.0 y anteriores, unos usuarios no autorizados pueden acceder al nombre, avatar, tema y número de miembros de una sala si conocen el ID de la misma. Esta vulnerabilidad es limitada a servidores domésticos en los que el servidor doméstico vulnerable se encuentra en la sala y los usuarios no confiables pueden crear grupos (comunidades). Por defecto, sólo los administradores de servidores domésticos pueden crear grupos. Sin embargo, los administradores de homeservers ya pueden acceder a esta información en la base de datos o usando la API de administración. Como resultado, sólo los servidores domésticos en los que el ajuste de configuración "enable_group_creation" es ajustado en "true" están afectados. Los administradores de servidores deben actualizar a versión 1.41.1 o superior para parchear la vulnerabilidad. Se presenta dos posibles soluciones. Los administradores del servidor pueden ajustar "enable_group_creation" en 'false" en la configuración de su servidor doméstico (este es el valor por defecto) para prevenir la creación de grupos por parte de no administradores. Los administradores que están usando un proxy inverso podrían, con pérdida parcial de la funcionalidad group, bloquear los endpoints "/_matrix/client/r0/groups/{group_id}/rooms" y "/_matrix/client/unstable/groups/{group_id}/rooms"