Vulnerabilidades

iccDEV proporciona un conjunto de bibliotecas y herramientas que permiten la interacción, manipulación y aplicación de perfiles de gestión de color del International Color Consortium (ICC). Las versiones anteriores a la 2.3.1.2 tienen una vulnerabilidad de confusión de tipos en 'CIccTag:IsTypeCompressed()'. Esta vulnerabilidad afecta a los usuarios de la biblioteca iccDEV que procesan perfiles de color ICC. La versión 2.3.1.2 contiene un parche. No se conocen soluciones alternativas disponibles.

iccDEV proporciona un conjunto de bibliotecas y herramientas que permiten la interacción, manipulación y aplicación de perfiles de gestión de color del Consorcio Internacional del Color (ICC). Las versiones anteriores a la 2.3.1.2 tienen una vulnerabilidad de confusión de tipos en 'ToXmlCurve()' en 'IccXML/IccLibXML/IccMpeXml.cpp'. Esta vulnerabilidad afecta a los usuarios de la biblioteca iccDEV que procesan perfiles de color ICC. La versión 2.3.1.2 contiene un parche. No hay soluciones alternativas conocidas disponibles.

iccDEV proporciona un conjunto de bibliotecas y herramientas que permiten la interacción, manipulación y aplicación de perfiles de gestión de color del International Color Consortium (ICC). Las versiones anteriores a la 2.3.1.2 tienen una vulnerabilidad de confusión de tipos en 'CIccSegmentedCurveXml::ToXml()' en 'IccXML/IccLibXML/IccMpeXml.cpp'. Esta vulnerabilidad afecta a los usuarios de la biblioteca iccDEV que procesan perfiles de color ICC. La versión 2.3.1.2 contiene un parche. No se conocen soluciones alternativas disponibles.

urllib3 es una biblioteca cliente HTTP para Python. La API de streaming de urllib3 está diseñada para el manejo eficiente de grandes respuestas HTTP leyendo el contenido en fragmentos, en lugar de cargar el cuerpo completo de la respuesta en la memoria de una sola vez. urllib3 puede realizar decodificación o descompresión basándose en el encabezado HTTP 'Content-Encoding' (por ejemplo, 'gzip', 'deflate', 'br' o 'zstd'). Al usar la API de streaming, la biblioteca descomprime solo los bytes necesarios, permitiendo el consumo parcial del contenido. A partir de la versión 1.22 y antes de la versión 2.6.3, para las respuestas de redirección HTTP, la biblioteca leería el cuerpo completo de la respuesta para vaciar la conexión y descomprimir el contenido innecesariamente. Esta descompresión ocurría incluso antes de que se llamara a cualquier método de lectura, y los límites de lectura configurados no restringían la cantidad de datos descomprimidos. Como resultado, no había ninguna salvaguarda contra las bombas de descompresión. Un servidor malicioso podría explotar esto para desencadenar un consumo excesivo de recursos en el cliente. Las aplicaciones y bibliotecas se ven afectadas cuando transmiten contenido de fuentes no confiables al establecer 'preload_content=False' cuando no deshabilitan las redirecciones. Los usuarios deberían actualizar al menos a urllib3 v2.6.3, en la cual la biblioteca no decodifica el contenido de las respuestas de redirección cuando 'preload_content=False'. Si la actualización no es posible de inmediato, deshabilite las redirecciones estableciendo 'redirect=False' para las solicitudes a fuentes no confiables.

iccDEV proporciona un conjunto de bibliotecas y herramientas que permiten la interacción, manipulación y aplicación de perfiles de gestión de color del International Color Consortium (ICC). Las versiones anteriores a la 2.3.1.2 tienen una vulnerabilidad de confusión de tipos en 'icStatusCMM::CIccEvalCompare::EvaluateProfile()'. Esta vulnerabilidad afecta a los usuarios de la biblioteca iccDEV que procesan perfiles de color ICC. La versión 2.3.1.2 contiene un parche. No se conocen soluciones alternativas disponibles.

iccDEV proporciona un conjunto de bibliotecas y herramientas que permiten la interacción, manipulación y aplicación de perfiles de gestión de color del International Color Consortium (ICC). Las versiones anteriores a la 2.3.1.2 tienen Comportamiento Indefinido en 'CIccTagSpectralViewingConditions()'. Esta vulnerabilidad afecta a los usuarios de la biblioteca iccDEV que procesan perfiles de color ICC. La versión 2.3.1.2 contiene un parche. No se conocen soluciones alternativas disponibles.

iccDEV proporciona un conjunto de bibliotecas y herramientas que permiten la interacción, manipulación y aplicación de perfiles de gestión de color del Consorcio Internacional del Color (ICC). Las versiones anteriores a la 2.3.1.2 tienen Comportamiento Indefinido en 'CIccTagLut16::Read()'. Esta vulnerabilidad afecta a los usuarios de la biblioteca iccDEV que procesan perfiles de color ICC. La versión 2.3.1.2 contiene un parche. No se conocen soluciones alternativas disponibles.

iccDEV proporciona un conjunto de bibliotecas y herramientas que permiten la interacción, manipulación y aplicación de perfiles de gestión de color del Consorcio Internacional del Color (ICC). Las versiones anteriores a la 2.3.1.2 tienen Comportamiento Indefinido en 'CIccTagLutAtoB::Validate()'. Esta vulnerabilidad afecta a los usuarios de la biblioteca iccDEV que procesan perfiles de color ICC. La versión 2.3.1.2 contiene un parche. No se conocen soluciones alternativas disponibles.

iccDEV proporciona un conjunto de bibliotecas y herramientas que permiten la interacción, manipulación y aplicación de perfiles de gestión de color del Consorcio Internacional del Color (ICC). Las versiones anteriores a la 2.3.1.2 tienen comportamiento indefinido en 'CIccTagCurve::CIccTagCurve()'. Esta vulnerabilidad afecta a los usuarios de la biblioteca iccDEV que procesan perfiles de color ICC. La versión 2.3.1.2 contiene un parche. No se conocen soluciones alternativas disponibles.

*** Pendiente de traducción *** pnpm is a package manager. Versions 10.26.2 and below store HTTP tarball dependencies (and git-hosted tarballs) in the lockfile without integrity hashes. This allows the remote server to serve different content on each install, even when a lockfile is committed. An attacker who publishes a package with an HTTP tarball dependency can serve different code to different users or CI/CD environments. The attack requires the victim to install a package that has an HTTP/git tarball in its dependency tree. The victim's lockfile provides no protection. This issue is fixed in version 10.26.0.

*** Pendiente de traducción *** pnpm is a package manager. Versions 10.0.0 through 10.25 allow git-hosted dependencies to execute arbitrary code during pnpm install, circumventing the v10 security feature "Dependency lifecycle scripts execution disabled by default". While pnpm v10 blocks postinstall scripts via the onlyBuiltDependencies mechanism, git dependencies can still execute prepare, prepublish, and prepack scripts during the fetch phase, enabling remote code execution without user consent or approval. This issue is fixed in version 10.26.0.

*** Pendiente de traducción *** LibreChat is a ChatGPT clone with additional features. Version 0.8.1-rc2 is prone to a server-side request forgery (SSRF)<br /> vulnerability due to missing restrictions of the Actions feature in the default configuration. LibreChat enables users to configure agents with predefined instructions and actions that can interact with remote services via OpenAPI specifications, supporting various HTTP methods, parameters, and authentication methods including custom headers. By default, there are no restrictions on accessible services, which means agents can also access internal components like the RAG API included in the default Docker Compose setup. This issue is fixed in version 0.8.1-rc2.