Vulnerabilidades

En RUCKUS Network Director (RND) < 4.5.0.56, el dispositivo OVA contiene claves SSH almacenadas en el código para el usuario postgres. Estas claves son idénticas en todas las implementaciones, permitiendo a un atacante con acceso a la red autenticarse a través de SSH sin una contraseña. Una vez autenticado, el atacante puede acceder a la base de datos PostgreSQL con privilegios de superusuario, crear usuarios administradores para la interfaz web y, potencialmente, escalar más privilegios.

systeminformation es una biblioteca de información del sistema y del SO para node.js. Las versiones anteriores a la 5.31.0 son vulnerables a inyección de comandos a través de la salida no saneada de 'locate' en 'versions()'. La versión 5.31.0 soluciona el problema.

Fabric.js es una biblioteca de lienzo HTML5 de Javascript. Antes de la versión 7.2.0, Fabric.js aplica `escapeXml()` al contenido de texto durante la exportación SVG (`src/shapes/Text/TextSVGExportMixin.ts:186`) pero no lo aplica a otros valores de la cadena controlados por el usuario, que se interpolan en el marcado de atributos SVG. Cuando se carga un JSON controlado por el atacante a través de `loadFromJSON()` y luego se exporta a través de `toSVG()`, los valores sin escapar se salen de los atributos XML e inyectan elementos SVG arbitrarios, incluidos los controladores de eventos. Cualquier aplicación que acepte JSON proporcionados por el usuario (a través de `loadFromJSON()`, uso compartido colaborativo, funciones de importación, complementos de CMS) y renderice la salida de `toSVG()` en un contexto de navegador (vista previa SVG, descarga de exportación renderizada en la página, plantilla de correo electrónico, incrustación) es vulnerable a XSS almacenado. Un atacante puede ejecutar JavaScript arbitrario en la sesión del navegador de la víctima. La versión 7.2.0 contiene una solución.

PJSIP es una biblioteca de comunicación multimedia gratuita y de código abierto. Las versiones anteriores a la 2.17 tienen una vulnerabilidad crítica de desbordamiento negativo de búfer de pila en el paquetizador H.264 de PJSIP. El error ocurre al procesar flujos de bits H.264 malformados sin códigos de inicio de unidad NAL, donde el paquetizador realiza aritmética de punteros sin verificar que puede leer de la memoria ubicada antes del búfer asignado. La versión 2.17 contiene un parche para el problema.

soroban-sdk es un SDK de Rust para contratos Soroban. Antes de las versiones 22.0.10, 23.5.2 y 25.1.1, la macro `#[contractimpl]` contiene un error en cómo conecta las llamadas a funciones. `#[contractimpl]` genera código que utiliza llamadas al estilo `MyContract::value()` incluso cuando está procesando la versión del trait. Esto significa que si una función inherente también se define con el mismo nombre, se llama a la función inherente en lugar de la función del trait. Esto significa que el punto de entrada exportado por Wasm llama silenciosamente a la función incorrecta cuando se cumplen dos condiciones simultáneamente: Primero, se define un bloque `impl Trait for MyContract` con una o más funciones, con `#[contractimpl]` aplicado. Segundo, se define un bloque `impl MyContract` con una o más funciones con nombres idénticos, sin `#[contractimpl]` aplicado. Si la versión del trait contiene comprobaciones de seguridad importantes, como verificar que el llamador está autorizado, que la versión inherente no tiene, esas comprobaciones se eluden. Cualquiera que interactúe con el contrato a través de su interfaz pública llamará a la función incorrecta. El problema está parcheado en las versiones de `soroban-sdk-macros` 22.0.10, 23.5.2 y 25.1.1. La corrección cambia la llamada generada de `::func()` a `::func()` al procesar implementaciones de traits, asegurando que Rust resuelva a la función asociada del trait independientemente de si existe una función inherente con el mismo nombre. Los usuarios deben actualizar a `soroban-sdk-macros` 22.0.10, 23.5.2 o 25.1.1 y recompilar sus contratos. Si la actualización no es posible de inmediato, los desarrolladores de contratos pueden evitar el problema asegurándose de que ninguna función asociada inherente en el tipo de contrato comparta un nombre con ninguna función en la implementación del trait. Renombrar o eliminar la función inherente en conflicto elimina la ambigüedad y hace que el código generado por la macro se resuelva correctamente a la función del trait.

fast-xml-parser permite a los usuarios validar XML, analizar XML a objeto JS, o construir XML desde objeto JS sin bibliotecas basadas en C/C++ y sin callback. En las versiones 4.1.3 a 5.3.5, el analizador XML puede ser forzado a realizar una cantidad ilimitada de expansión de entidades. Con una entrada XML muy pequeña, es posible hacer que el analizador dedique segundos o incluso minutos a procesar una única solicitud, congelando efectivamente la aplicación. La versión 5.3.6 corrige el problema. Como solución alternativa, evite usar el análisis de DOCTYPE mediante la opción 'processEntities: false'.

systeminformation es una biblioteca de información del sistema y del SO para node.js. En versiones anteriores a la 5.30.8, una vulnerabilidad de inyección de comandos en la función wifiNetworks() permite a un atacante ejecutar comandos arbitrarios del SO a través de un parámetro de interfaz de red no saneado en la ruta de código de reintento. En lib/wifi.js, la función wifiNetworks() sanea el parámetro iface en la llamada inicial (línea 437). Sin embargo, cuando el escaneo inicial devuelve resultados vacíos, un reintento de setTimeout (líneas 440-441) llama a getWifiNetworkListIw(iface) con el valor iface original no saneado, que se pasa directamente a execSync('iwlist ${iface} scan'). Cualquier aplicación que pasa una entrada controlada por el usuario a si.wifiNetworks() es vulnerable a la ejecución arbitraria de comandos con los privilegios del proceso de Node.js. La versión 5.30.8 corrige el problema.

opa-envoy-plugin es un plugin para aplicar políticas OPA con Envoy. Las versiones anteriores a 1.13.2-envoy-2 tienen una vulnerabilidad en cómo se construye el campo 'input.parsed_path'. Las rutas de solicitud HTTP se tratan como URIs completas al ser analizadas; interpretando los segmentos de ruta iniciales prefijados con barras dobles ('//') como componentes de autoridad, y por lo tanto, eliminándolos de la ruta analizada. Esto crea una falta de coincidencia en la interpretación de la ruta entre las políticas de autorización y los servidores backend, permitiendo a los atacantes eludir los controles de acceso mediante la creación de solicitudes donde el filtro de autorización evalúa una ruta diferente a la que finalmente se sirve. La versión 1.13.2-envoy-2 soluciona el problema.

Open WebUI es una plataforma de inteligencia artificial autoalojada diseñada para operar completamente sin conexión. Antes de la versión 0.7.0, la modificación manual del historial de chat permite establecer la propiedad 'html' dentro de los metadatos del documento. Esto hace que el frontend entre en una ruta de código que trata el contenido del documento como HTML y los renderiza en un iFrame cuando se previsualiza la cita. Esto permite XSS almacenado a través de una carga útil de documento maliciosa en un chat. La carga útil también se ejecuta cuando se visualiza la cita en un chat compartido. La versión 0.7.0 soluciona el problema.

Open WebUI es una plataforma de inteligencia artificial autoalojada diseñada para operar totalmente fuera de línea. Antes de la versión 0.6.44, la modificación manual del historial de chat permite establecer la propiedad `embeds` en un mensaje de respuesta, cuyo contenido se carga en un iFrame con una sandbox que tiene `allow-scripts` y `allow-same-origin` configurados, ignorando la configuración 'iframe Sandbox Allow Same Origin'. Esto permite XSS almacenado en el chat afectado. Esto también se activa cuando el chat está en formato compartido. El resultado es un enlace compartible que contiene la carga útil que puede distribuirse a cualquier otro usuario de la instancia. La versión 0.6.44 soluciona el problema.

Trivy Action ejecuta Trivy como acción de GitHub para escanear una imagen de contenedor Docker en busca de vulnerabilidades. Una vulnerabilidad de inyección de comandos existe en las versiones 0.31.0 a 0.33.1 de `aquasecurity/trivy-action` debido a un manejo inadecuado de las entradas de la acción al exportar variables de entorno. La acción escribe líneas 'export VAR=' en `trivy_envs.txt` basándose en entradas proporcionadas por el usuario y posteriormente carga este archivo en `entrypoint.sh`. Debido a que los valores de entrada se escriben sin el escape de shell adecuado, la entrada controlada por el atacante que contiene metacaracteres de shell (por ejemplo, '$(...)', comillas invertidas u otra sintaxis de sustitución de comandos) puede ser evaluada durante el proceso de carga. Esto puede resultar en la ejecución arbitraria de comandos dentro del contexto del ejecutor de GitHub Actions. La versión 0.34.0 contiene un parche para este problema. La vulnerabilidad es explotable cuando un flujo de trabajo consumidor pasa datos controlados por el atacante a cualquier entrada de acción que se escriba en `trivy_envs.txt`. Se requiere acceso a la entrada del usuario por parte del actor malicioso. Los flujos de trabajo que no pasan datos controlados por el atacante a las entradas de `trivy-action`, los flujos de trabajo que se actualizan a una versión parcheada que escapa correctamente los valores de shell o elimina el patrón 'source ./trivy_envs.txt', y los flujos de trabajo donde la entrada del usuario no es accesible no se ven afectados.

HDF5 es un software para la gestión de datos. Antes de la versión 1.14.4-2, un atacante que puede controlar un archivo 'h5' analizado por HDF5 puede desencadenar una condición de desbordamiento de búfer de montículo basado en escritura. Esto puede llevar a una condición de denegación de servicio, y potencialmente a problemas adicionales como la ejecución remota de código dependiendo de la explotabilidad práctica del desbordamiento de montículo contra sistemas operativos modernos. La explotabilidad real de este problema en términos de ejecución remota de código es actualmente desconocida. La versión 1.14.4-2 corrige el problema.