Vulnerabilidades

Se ha encontrado una vulnerabilidad en feng_ha_ha/megagao ssm-erp y production_ssm hasta 4288d53bd35757b27f2d070057aefb2c07bdd097. Esto afecta a la función pictureDelete del archivo PictureController.java. Dicha manipulación del argumento picName conduce a salto de ruta. El ataque puede ser lanzado remotamente. El exploit ha sido divulgado al público y puede ser utilizado. Este producto no utiliza versionado. Por esta razón, la información sobre las versiones afectadas y no afectadas no está disponible. Este producto se distribuye bajo dos nombres completamente diferentes. El proyecto fue informado del problema tempranamente a través de un informe de incidencias pero aún no ha respondido.

Se encontró una vulnerabilidad en itsourcecode Agri-Trading Online Shopping System 1.0. Esto afecta a una función desconocida del archivo admin/productcontroller.php del componente Gestor de Solicitudes HTTP POST. Manipular el argumento Product resulta en inyección SQL. El ataque puede iniciarse de forma remota. El exploit se ha hecho público y podría usarse.

BigBlueButton es un aula virtual de código abierto. En las versiones 3.0.19 e inferiores, al unirse por primera vez a una sesión con el micrófono silenciado, el cliente envía audio al servidor independientemente del estado de silencio. Los medios se descartan en el lado del servidor, por lo que no es audible para ningún participante, pero esto puede permitir a operadores de servidor maliciosos acceder a datos de audio. El comportamiento solo es incorrecto entre unirse a la reunión y la primera vez que el usuario quita el silencio. Este problema ha sido solucionado en la versión 3.0.20.

BigBlueButton es un aula virtual de código abierto. En las versiones 3.0.21 e inferiores, la documentación oficial para 'Personalización del Servidor' en Soporte para ClamAV como escáner de archivos de presentación contiene instrucciones que dejan un servidor BBB vulnerable a la denegación de servicio. El comando defectuoso expone ambos puertos (3310 y 7357) a internet. Un atacante remoto puede usar esto para enviar documentos complejos o grandes a clamd y malgastar recursos del servidor, o apagar el proceso clamd. La documentación de clamd advierte explícitamente sobre la exposición de este puerto. Habilitar ufw (cortafuegos de ubuntu) durante la instalación no ayuda, porque Docker enruta el tráfico del contenedor a través de la tabla nat, la cual no es gestionada ni restringida por ufw. Las reglas instaladas por ufw en la tabla de filtros no tienen efecto en el tráfico de docker. Además, el ejemplo proporcionado también monta /var/bigbluebutton con permisos de escritura en el contenedor, lo cual no debería ser necesario. Futuras vulnerabilidades en clamd pueden permitir a los atacantes manipular archivos en esa carpeta. Los usuarios no se ven afectados a menos que hayan optado por seguir las instrucciones adicionales de la documentación de BigBlueButton. Este problema ha sido solucionado en la versión 3.0.22.

Isso es un servidor de comentarios ligero escrito en Python y JavaScript. En commits anteriores a 0afbfe0691ee237963e3fb0b2ee01c9e55ca2144, existe una vulnerabilidad de cross-site scripting (XSS) almacenado que afecta los campos de sitio web y de comentario del autor. El campo del sitio web fue escapado en HTML usando quote=False, lo que dejó las comillas simples y dobles sin escapar. Dado que el frontend inserta el valor del sitio web directamente en un atributo href entre comillas simples mediante concatenación de cadenas, una comilla simple en la URL rompe el contexto del atributo, permitiendo la inyección de manejadores de eventos arbitrarios (p. ej. onmouseover, onclick). El mismo escape está completamente ausente del endpoint de edición de comentarios para el usuario (PUT /id/) y del endpoint de edición de moderación (POST /id//edit/). Este problema ha sido parcheado en el commit 0afbfe0691ee237963e3fb0b2ee01c9e55ca2144. Como solución alternativa, habilitar la moderación de comentarios (moderation = enabled = true en isso.cfg) evita que los usuarios no autenticados publiquen comentarios, elevando la dificultad para la explotación, pero no mitiga completamente el problema ya que un moderador que active un comentario malicioso aún expondría a los visitantes.

Metabase es una plataforma de análisis de datos de código abierto. En versiones anteriores a la 0.57.13 y versiones 0.58.x hasta la 0.58.6, los usuarios autenticados pueden recuperar información sensible de una instancia de Metabase, incluyendo credenciales de acceso a la base de datos. Durante las pruebas, se confirmó que un usuario con pocos privilegios puede extraer información sensible, incluyendo credenciales de la base de datos, en el cuerpo del correo electrónico a través de la evaluación de plantillas. Este problema ha sido solucionado en las versiones 0.57.13 y 0.58.7. Como solución alternativa a este problema, los usuarios pueden deshabilitar las notificaciones en su instancia de Metabase para denegar el acceso a los puntos finales vulnerables.

ERP es una herramienta de Planificación de Recursos Empresariales de código abierto y gratuita. En las versiones hasta la 15.98.0 y la 16.0.0-rc.1, y hasta la 16.6.0, ciertos endpoints carecían de validación de acceso, lo que permitía el acceso no autorizado a documentos. Este problema ha sido solucionado en las versiones 15.98.1 y 16.6.1.

LinkAce es un archivo autoalojado para recopilar enlaces de sitios web. Las versiones 2.4.2 e inferiores tienen una vulnerabilidad de cross-site scripting almacenado a través del endpoint de feed Atom para listas (/lists/feed). Un usuario autenticado puede inyectar una carga útil que rompe CDATA en la descripción de una lista que escapa de la sección CDATA de XML, inyecta un elemento SVG nativo en el documento XML Atom y ejecuta JavaScript arbitrario directamente en el navegador cuando se visita la URL del feed. No se requiere un lector RSS o un contexto de renderizado adicional — el analizador XML nativo del navegador procesa el SVG inyectado y dispara el gestor de eventos onload. Esta vulnerabilidad existe porque la plantilla del feed de listas genera las descripciones de las listas utilizando la sintaxis sin procesar de Blade ({!! !!}) sin sanitización dentro de un bloque CDATA. El detalle crítico es que, debido a que la salida se encuentra dentro de ..., un atacante puede inyectar la secuencia ]]> para cerrar la sección CDATA prematuramente, y luego inyectar elementos XML/SVG arbitrarios que el navegador analiza y ejecuta de forma nativa como parte del documento Atom. Este problema ha sido solucionado en la versión 2.4.3.

Biblioteca ESM de TypeScript para ASN.1, incluyendo códecs para las Reglas Básicas de Codificación (BER) y las Reglas de Codificación Distinguida (DER). En las versiones 11.0.5 e inferiores, en algunos casos, la decodificación de un INTEGER podría filtrar el ArrayBuffer subyacente. Se espera que este problema se solucione en la versión 11.0.6.

Zumba Json Serializer es una biblioteca para serializar variables de PHP en formato JSON. En las versiones 3.2.2 e inferiores, la biblioteca permite la deserialización de objetos PHP desde JSON utilizando un campo especial @type. El deserializador instancia cualquier clase especificada en el campo @type sin restricciones. Al procesar entrada JSON no confiable, este comportamiento puede permitir a un atacante instanciar clases arbitrarias disponibles en la aplicación. Si una aplicación vulnerable pasa JSON controlado por el atacante a JsonSerializer::unserialize() y contiene clases con métodos mágicos peligrosos (como __wakeup() o __destruct()), esto puede llevar a la inyección de objetos PHP y, potencialmente, a la ejecución remota de código (RCE), dependiendo de las cadenas de gadgets disponibles en la aplicación o sus dependencias. Este comportamiento es similar en perfil de riesgo al unserialize() nativo de PHP cuando se usa sin la restricción allowed_classes. Las aplicaciones se ven afectadas solo si se pasa JSON no confiable o controlado por el atacante a JsonSerializer::unserialize() y la aplicación o sus dependencias contienen clases que pueden ser aprovechadas como una cadena de gadgets. Este problema ha sido solucionado en la versión 3.2.3. Si una actualización inmediata no es factible, mitigue la vulnerabilidad al nunca deserializar JSON no confiable con JsonSerializer::unserialize(), validando y saneando toda la entrada JSON antes de la deserialización, y deshabilitando la instanciación de objetos basada en @type siempre que sea posible.

Se ha encontrado una vulnerabilidad en feng_ha_ha/megagao ssm-erp y production_ssm hasta 4288d53bd35757b27f2d070057aefb2c07bdd097 que afecta a la función deleteFile del archivo FileServiceImpl.java. Su manipulación provoca un salto de ruta. El ataque puede iniciarse de forma remota. El exploit ha sido publicado y puede ser utilizado. En este producto se realizan entregas continuas con lanzamientos progresivos, por lo tanto, no hay detalles de versión de las versiones afectadas ni actualizadas. Este producto se distribuye bajo dos nombres completamente diferentes. Antes de la divulgar esta vulnerabilidad se contactó con el proyecto a través de un informe de incidencias, pero aún no ha respondido.

Swiper es un deslizador táctil móvil y gratuito con transiciones aceleradas por hardware y comportamiento nativo. Las versiones 6.5.1 hasta 12.1.1 tienen una vulnerabilidad de contaminación de prototipos. La vulnerabilidad reside en la línea 94 de shared/utils.mjs, donde la función indexOf() se utiliza para verificar si la entrada proporcionada por el usuario contiene cadenas prohibidas. A pesar de una corrección anterior que intentó mitigar la contaminación de prototipos verificando si la entrada del usuario contenía una clave prohibida, todavía es posible contaminar Object.prototype a través de una entrada manipulada usando Array.prototype. El exploit funciona en Windows y Linux y en los entornos de ejecución de Node y Bun. Cualquier aplicación que procese entrada controlada por el atacante usando este paquete puede verse afectada por lo siguiente: Omisión de Autenticación, Denegación de Servicio y RCE. Este problema está solucionado en la versión 12.1.2.