Vulnerabilidades

sigstore-python es una herramienta de Python para generar y verificar firmas de Sigstore. Antes de la versión 4.2.0, el flujo de autenticación OAuth de sigstore-python es susceptible a la falsificación de petición en sitios cruzados. `_OAuthSession` crea un 'estado' único y lo envía como parámetro en la petición de autenticación, pero el 'estado' en la respuesta del servidor parece no ser verificado con este valor. La versión 4.2.0 contiene un parche para el problema.

AssertJ proporciona aserciones de prueba fluidas para Java y la Máquina Virtual de Java (JVM). A partir de la versión 1.4.0 y antes de la versión 3.27.7, existe una vulnerabilidad de Entidad Externa XML (XXE) en `org.assertj.core.util.xml.XmlStringPrettyFormatter`: el método `toXmlDocument(String)` inicializa `DocumentBuilderFactory` con configuraciones predeterminadas, sin deshabilitar DTDs o entidades externas. Este formateador es utilizado por la aserción `isXmlEqualTo(CharSequence)` para valores `CharSequence`. Una aplicación es vulnerable solo cuando utiliza entrada XML no confiable con `isXmlEqualTo(CharSequence)` de `org.assertj.core.api.AbstractCharSequenceAssert` o `xmlPrettyFormat(String)` de `org.assertj.core.util.xml.XmlStringPrettyFormatter`. Si la entrada XML no confiable es procesada por uno de estos métodos, un atacante podría leer archivos locales arbitrarios a través de URIs `file://` (por ejemplo, `/etc /passwd`, archivos de configuración de la aplicación); realizar Falsificación de Petición del Lado del Servidor (SSRF) a través de URIs HTTP/HTTPS, y/o causar Denegación de Servicio a través de ataques de expansión de entidad "Billion Laughs". `isXmlEqualTo(CharSequence)` ha sido desaprobado a favor de XMLUnit en la versión 3.18.0 y será eliminado en la versión 4.0. Los usuarios de las versiones afectadas deberían, en orden de preferencia: reemplazar `isXmlEqualTo(CharSequence)` con XMLUnit, actualizar a la versión 3.27.7, o evitar usar `isXmlEqualTo(CharSequence)` o `XmlStringPrettyFormatter` con entrada no confiable. `XmlStringPrettyFormatter` históricamente ha sido considerado una utilidad para `isXmlEqualTo(CharSequence)` en lugar de una característica para los usuarios de AssertJ, por lo que es desaprobado en la versión 3.27.7 y eliminado en la versión 4.0, sin reemplazo.

Secuestro de DLL en el instalador de WD Discovery en Western Digital WD Discovery 5.2.730 en Windows permite a un atacante local ejecutar código arbitrario mediante la colocación de una DLL manipulada en la ruta de búsqueda del instalador.

pnpm es un gestor de paquetes. Antes de la versión 10.28.1, una vulnerabilidad de salto de ruta en el recuperador de binarios de pnpm permite a paquetes maliciosos escribir archivos fuera del directorio de extracción previsto. La vulnerabilidad tiene dos vectores de ataque: (1) Entradas ZIP maliciosas que contienen '../' o rutas absolutas que escapan de la raíz de extracción a través de 'extractAllTo' de AdmZip, y (2) El campo 'BinaryResolution.prefix' se concatena en la ruta de extracción sin validación, permitiendo que un prefijo manipulado como '../../evil' redirija los archivos extraídos fuera de 'targetDir'. El problema afecta a todos los usuarios de pnpm que instalan paquetes con activos binarios, a los usuarios que configuran ubicaciones de binarios de Node.js personalizadas y a las tuberías CI/CD que auto-instalan dependencias binarias. Puede llevar a la sobrescritura de archivos de configuración, scripts u otros archivos sensibles, lo que lleva a RCE. La versión 10.28.1 contiene un parche.

pnpm es un gestor de paquetes. Antes de la versión 10.28.1, una vulnerabilidad de salto de ruta en la extracción de tarball de pnpm permite a paquetes maliciosos escribir archivos fuera del directorio del paquete en Windows. La normalización de rutas solo verifica `./` pero no `.\`. En Windows, las barras invertidas son separadores de directorio, lo que permite el salto de ruta. Esta vulnerabilidad es solo para Windows. Este problema afecta a usuarios de pnpm en Windows y a las pipelines de CI/CD en Windows (ejecutores de GitHub Actions en Windows, Azure DevOps). Puede llevar a la sobrescritura de .npmrc, configuraciones de compilación u otros archivos. La versión 10.28.1 contiene un parche.

pnpm es un gestor de paquetes. Antes de la versión 10.28.1, una vulnerabilidad de salto de ruta en el enlace de binarios de pnpm permite a paquetes npm maliciosos crear shims ejecutables o enlaces simbólicos fuera de 'node_modules/.bin'. Los nombres de binarios que comienzan con '@' eluden la validación, y después de la normalización del ámbito, secuencias de salto de ruta como '../../' permanecen intactas. Este problema afecta a todos los usuarios de pnpm que instalan paquetes npm y a los pipelines CI/CD que utilizan pnpm. Puede llevar a la sobrescritura de archivos de configuración, scripts u otros archivos sensibles. La versión 10.28.1 contiene un parche.

EVerest es una pila de software de carga de vehículos eléctricos. En versiones hasta la 2025.12.1 inclusive, es posible omitir la verificación del estado de la secuencia, incluyendo la autenticación, y enviar solicitudes que transicionan a estados prohibidos en relación con el actual, actualizando así el contexto actual con datos ilegítimos. Gracias al diseño modular de EVerest, la autorización se gestiona en un módulo separado y la máquina de estados interna del cargador EVSEManager no puede transicionar fuera del estado 'WaitingForAuthentication' a través de la comunicación ISO 15118-2. Desde este estado, sin embargo, fue posible a través de mensajes ISO 15118-2 que se publican en el servidor MQTT engañarlo para que se prepare para cargar, e incluso para que se prepare para enviar corriente. El requisito final para enviar corriente al vehículo eléctrico fue el cierre de los contactores, lo cual no parece ser posible sin salir del estado 'WaitingForAuthentication' y aprovechar los mensajes ISO 15118-2. A la fecha de publicación, no hay versiones corregidas disponibles.

pnpm es un gestor de paquetes. Antes de la versión 10.28.2, cuando pnpm instala una dependencia 'file:' (directorio) o 'git:', sigue los enlaces simbólicos y lee el contenido de sus destinos sin restringirlos a la raíz del paquete. Un paquete malicioso que contiene un enlace simbólico a una ruta absoluta (por ejemplo, '/etc /passwd', '~/.ssh/id_rsa') hace que pnpm copie el contenido de ese archivo en 'node_modules', filtrando datos locales. La vulnerabilidad solo afecta a las dependencias 'file:' y 'git:'. Los paquetes de registro (npm) tienen los enlaces simbólicos eliminados durante la publicación y NO se ven afectados. El problema afecta a los desarrolladores que instalan dependencias locales/de archivo y a las tuberías de CI/CD que instalan dependencias de git. Puede conducir al robo de credenciales a través de enlaces simbólicos a '~/.aws/credentials', '~/.npmrc', '~/.ssh/id_rsa'. La versión 10.28.2 contiene un parche.

pnpm es un gestor de paquetes. Antes de la versión 10.28.2, cuando pnpm procesa el campo 'directories.bin' de un paquete, utiliza 'path.join()' sin validar que el resultado permanezca dentro de la raíz del paquete. Un paquete npm malicioso puede especificar "directories": {"bin": "../../../../tmp"} para escapar del directorio del paquete, haciendo que pnpm aplique chmod 755 a archivos en ubicaciones arbitrarias. Este problema solo afecta a Unix/Linux/macOS. Windows no se ve afectado ('fixBin' está restringido por 'EXECUTABLE_SHEBANG_SUPPORTED'). La versión 10.28.2 contiene un parche.

vm2 es una vm/sandbox de código abierto para Node.js. En vm2, en versiones anteriores a la 3.10.2, la sanitización de las devoluciones de llamada de `Promise.prototype.then` `Promise.prototype.catch` puede ser eludida. Esto permite a los atacantes escapar de la sandbox y ejecutar código arbitrario. En lib/setup-sandbox.js, la función de devolución de llamada de `localPromise.prototype.then` es sanitizada, pero `globalPromise.prototype.then` no es sanitizada. El valor de retorno de las funciones asíncronas es un objeto `globalPromise`. La versión 3.10.2 corrige el problema.

dcap-qvl implementa la lógica de verificación de citas para DCAP (Data Center Attestation Primitives). Una vulnerabilidad presente en versiones anteriores a la 0.3.9 implica una brecha crítica en el proceso de verificación criptográfica dentro de dcap-qvl. La librería obtiene el colateral de Identidad QE (incluyendo qe_identity, qe_identity_signature y qe_identity_issuer_chain) del PCCS. Sin embargo, omite verificar la firma de Identidad QE contra su cadena de certificados y no aplica restricciones de política en el Informe QE. Un atacante puede falsificar los datos de Identidad QE para incluir en la lista blanca un Enclave de Citas malicioso o no Intel. Esto permite al atacante falsificar el QE y firmar citas no confiables que el verificador aceptará como válidas. Efectivamente, esto elude todo el modelo de seguridad de atestación remota, ya que el verificador ya no puede confiar en la entidad responsable de firmar las citas. Todas las implementaciones que utilizan la librería dcap-qvl para la verificación de citas SGX o TDX están afectadas. La vulnerabilidad ha sido parcheada en la versión 0.3.9 de dcap-qvl. La solución implementa la verificación criptográfica faltante para la firma de Identidad QE y aplica las comprobaciones requeridas para MRSIGNER, ISVPRODID e ISVSVN contra el Informe QE. Los usuarios de los paquetes '@phala/dcap-qvl-node' y '@phala/dcap-qvl-web' deberían cambiar a la implementación pura de JavaScript, '@phala/dcap-qvl'. No existen soluciones alternativas conocidas para esta vulnerabilidad. Los usuarios deben actualizar a la versión parcheada para asegurar que el colateral de Identidad QE sea verificado correctamente.

Una vulnerabilidad ha sido encontrada en iJason-Liu Books_Manager hasta 298ba736387ca37810466349af13a0fdf828e99c. Esto afecta una parte desconocida del archivo controllers/books_center/add_book_check.PHP. Tal manipulación del argumento mark lleva a cross site scripting. El ataque puede ser lanzado remotamente. El exploit ha sido divulgado al público y puede ser usado. Este producto no usa versionado. Esta es la razón por la que la información sobre las versiones afectadas y no afectadas no está disponible.