Vulnerabilidades

Unas restricciones de búfer inapropiadas en BlueZ pueden permitir a un usuario no autenticado habilitar potencialmente la denegación de servicio por medio de un acceso adyacente. Esto afecta a todas las versiones del kernel de Linux que admiten BlueZ

Http4s (http4s-blaze-server) es una interfaz Scala mínima e idiomática para servicios HTTP. Http4s anterior a versiones 0.21.17, 0.22.0-M2 y 1.0.0-M14, presentan una vulnerabilidad que puede conllevar a una denegación de servicio. Blaze-core, una biblioteca subyacente a http4s-blaze-server, acepta conexiones ilimitadas en su grupo de selectores. Esto tiene el efecto neto de amplificar la degradación en los servicios que no pueden manejar su carga de peticiones actual, ya que las conexiones entrantes aún se aceptan y agregan a una cola ilimitada. Cada conexión asigna un identificador de socket, lo que agota un recurso escaso del sistema operativo. Esto también puede confundir a los disyuntores de nivel superior que funcionan basándose en la detección de conexiones en fallo. http4s proporciona un mecanismo de middleware "MaxActiveRequests" general para limitar las conexiones abiertas, pero se aplica dentro del bucle de aceptación de Blaze, después de que se acepta la conexión y se abre el socket. Por lo tanto, el límite solo impide el número de conexiones que se pueden procesar simultáneamente, no el número de conexiones que se pueden mantener abiertas. En 0.21.17, 0.22.0-M2 y 1.0.0-M14, se agregó una nueva propiedad "maxConnections", con un valor predeterminado de 1024, al "BlazeServerBuilder". Establecer el valor en un número negativo restaura el comportamiento ilimitado, pero se desaconseja enérgicamente. El backend de NIO2 no respeta "maxConnections". Su uso ahora es obsoleto en http4s-0.21, y la opción se elimina por completo a partir de http4s-0.22. Existen varias posibles soluciones que se describen en el Aviso de GitHub referenciado GHSA-xhv5-w9c5-2r2w

blaze es una biblioteca de Scala para construir pipelines asincrónicos, con un enfoque en la E/S de red. Todos los servidores que ejecutan blaze-core anterior a versión 0.14.15 están afectados por una vulnerabilidad en la que la aceptación de una conexión ilimitada conduce al agotamiento del control de archivos. Blaze, acepta conexiones incondicionalmente en un grupo de subprocesos dedicado. Esto tiene el efecto neto de amplificar la degradación en los servicios que no pueden manejar su carga de peticiones actual, ya que las conexiones entrantes aún se aceptan y agregan a una cola ilimitada. Cada conexión asigna un identificador de socket, lo que agota un recurso escaso del sistema operativo. Esto también puede confundir a los disyuntores de nivel superior que funcionan basándose en la detección de conexiones en fallo. La gran mayoría de los usuarios afectados lo utilizan como parte de http4s-blaze-server versiones anteriores a 0.21.16 e incluyéndola. http4s proporciona un mecanismo para limitar las conexiones abiertas, pero se aplica dentro del bucle de aceptación de Blaze, después de que se acepta la conexión y se abre el socket. Por lo tanto, el límite solo evita el número de conexiones que se pueden procesar simultáneamente, no el número de conexiones que se pueden mantener abiertas. El problema se solucionó en la versión 0.14.15 para "NIO1SocketServerGroup". Se agrega un parámetro "maxConnections", con un valor predeterminado de 512. Se rechazan las conexiones simultáneas más allá de este límite. Para ejecutar sin límites, lo cual no se recomienda, establezca un número negativo. El "NIO2SocketServerGroup" no tiene tal configuración y ahora está obsoleto. Existen varias posibles soluciones que se describen en el Aviso de GitHub referenciado GHSA-xmw9-q7x9-j5qc

En Digital Experience versiones 8.5, 9.0 y 9.5, el consumidor de WSRP es vulnerable a un ataque de tipo cross-site scripting (XSS)

Una vulnerabilidad de tipo cross-site scripting (XSS) en Pryaniki versión 6.44.3, permite a los usuarios autenticados remotamente cargar un archivo arbitrario. El código JavaScript se ejecutará cuando alguien visite el archivo adjunto

Una validación de entrada inapropiada en el firmware para Intel® Server Board M10JNP2SB anterior a versión 7.210, puede permitir a un usuario con privilegios habilitar potencialmente una escalada de privilegios por medio de un acceso local

En Harbour versiones 2.0 anteriores a 2.0.5 y versiones 2.1.x anteriores a 2.1.2, la API de registro del catálogo está expuesta en una ruta no autenticada

Traccar es un sistema de rastreo GPS de código abierto. En Traccar anterior a versión 4.12, se presenta una vulnerabilidad de ruta binaria de Windows sin comillas. Solo las versiones de Windows están afectadas. El atacante necesita acceso de escritura al sistema de archivos en la máquina host. Si la ruta de Java incluye un espacio, entonces el atacante puede elevar su privilegio al mismo que el servicio Traccar (system). Esto se corregido en la versión 4.12

Una falta de comprobación de límites en WhatsApp para Android anterior a la v2.21.1.13 y WhatsApp Business para Android anterior a la versión v2.21.1.13, podría haber permitido la lectura y escritura fuera de límites si un usuario aplicaba filtros de imagen específicos a una imagen especialmente diseñada y enviar la imagen resultante

HCL Digital Experience versiones 8.5, 9.0 y 9.5, expone información sobre el servidor a usuarios no autorizados

Los contenedores de HCL Digital Experience versión 9.5, incluyen vulnerabilidades que podrían exponer datos confidenciales a partes no autorizadas por medio de peticiones diseñadas. Estos afectan solo a los contenedores. Estos no afectan las instalaciones tradicionales on-premise

Mechanize es una biblioteca de ruby ??de código abierto que facilita la interacción web automatizada. En Mechanize desde versión 2.0.0 y versiones anteriores a 2.7.7, se presenta una vulnerabilidad de inyección de comandos. Las versiones afectadas de mechanize permiten a unos comandos del Sistema Operativo ser inyectados usando métodos de varias clases que implícitamente usan el método Kernel.open de Ruby. Una explotación es posible solo si es usada una entrada que no sea confiable como nombre de archivo local y sea pasada a cualquiera de estas llamadas: Mechanize::CookieJar#load, Mechanize::CookieJar#save_as, Mechanize#download, Mechanize::Download#save, Mechanize::File#save y Mechanize::FileResponse#read_body. Esto es corregido en versión 2.7.7