Vulnerabilidades

soroban-fixed-point-math es una librería de matemáticas de punto fijo para contratos inteligentes de Soroban. En las versiones 1.3.0 y 1.4.0, la función 'mulDiv(x, y, z)' manejó incorrectamente los casos en que tanto el producto intermedio $x * y$ como el divisor $z$ eran negativos. La lógica asumía que si el producto intermedio era negativo, el resultado final también debía ser negativo, ignorando el signo de $z$. Esto resultó en que el redondeo se aplicara en la dirección incorrecta para los casos en que tanto $x * y$ como $z$ eran negativos. Las funciones con mayor riesgo son 'fixed_div_floor' y 'fixed_div_ceil', ya que a menudo usan números no constantes como el divisor $z$ en 'mulDiv'. Este error está presente en todas las implementaciones firmadas de 'FixedPoint' y 'SorobanFixedPoint', incluyendo 'i64', 'i128' e 'I256'. Las versiones 1.3.1 y 1.4.1 contienen un parche. No se conocen soluciones alternativas disponibles para este problema.

ConvertX es un conversor de archivos en línea autoalojado. En versiones anteriores a la 0.17.0, el endpoint 'POST /delete' utiliza un valor 'filename' controlado por el usuario para construir una ruta del sistema de archivos y lo elimina mediante 'unlink' sin validación suficiente. Al proporcionar secuencias de salto de ruta (por ejemplo, '../'), un atacante puede eliminar archivos arbitrarios fuera del directorio de cargas previsto, limitado únicamente por los permisos del proceso del servidor. La versión 0.17.0 corrige el problema.

PyTorch es un paquete de Python que proporciona computación de tensores. Antes de la versión 2.10.0, una vulnerabilidad en el des-serializador 'weights_only' de PyTorch permite a un atacante crear un archivo de punto de control malicioso ('.pth') que, cuando se carga con 'torch.load(..., weights_only=True)', puede corromper la memoria y potencialmente conducir a ejecución de código arbitrario. La versión 2.10.0 corrige el problema.

Kargo gestiona y automatiza la promoción de artefactos de software. Antes de las versiones 1.8.7, 1.7.7 y 1.6.3, se encontró un error con las comprobaciones de autenticación en el endpoint de la API 'GetConfig()'. Esto permitía a usuarios no autenticados acceder a este endpoint especificando una cabecera 'Authorization' con cualquier valor de token 'Bearer' no vacío, independientemente de su validez. Esta vulnerabilidad permitía la exfiltración de datos de configuración, como endpoints para clústeres de Argo CD conectados. Estos datos podrían permitir a un atacante enumerar URLs de clúster y espacios de nombres para su uso en ataques posteriores. Además, el mismo error afectaba al endpoint 'RefreshResource'. Este endpoint no conduce a ninguna revelación de información, pero podría ser utilizado por un atacante no autenticado para realizar un ataque de estilo denegación de servicio contra la API de Kargo. 'RefreshResource' establece una anotación en recursos específicos de Kubernetes para activar reconciliaciones. Si se ejecuta en un bucle constante, esto también podría ralentizar las solicitudes legítimas al servidor de la API de Kubernetes. Este problema ha sido parcheado en las versiones de Kargo 1.8.7, 1.7.7 y 1.6.3. No hay soluciones alternativas para este problema.

PHPUnit es un framework de pruebas para PHP. Se ha descubierto una vulnerabilidad en versiones anteriores a 12.5.8, 11.5.50, 10.5.62, 9.6.33 y 8.5.52 que involucra la deserialización insegura de datos de cobertura de código en la ejecución de pruebas PHPT. La vulnerabilidad existe en el método `cleanupForCoverage()`, que deserializa archivos de cobertura de código sin validación, lo que podría permitir la ejecución remota de código si archivos `.coverage` maliciosos están presentes antes de la ejecución de la prueba PHPT. La vulnerabilidad ocurre cuando un archivo `.coverage`, que no debería existir antes de la ejecución de la prueba, es deserializado sin la restricción del parámetro `allowed_classes`. Un atacante con acceso de escritura de archivos local puede colocar un objeto serializado malicioso con un método `__wakeup()` en el sistema de archivos, lo que lleva a la ejecución de código arbitrario durante las ejecuciones de pruebas con la instrumentación de cobertura de código habilitada. Esta vulnerabilidad requiere acceso de escritura de archivos local a la ubicación donde PHPUnit almacena o espera archivos de cobertura de código para las pruebas PHPT. Esto puede ocurrir a través de ataques a la cadena de CI/CD, el entorno de desarrollo local y/o dependencias comprometidas. En lugar de simplemente sanear silenciosamente la entrada a través de `['allowed_classes' => false]`, el mantenedor ha optado por hacer explícito el estado anómalo tratando los archivos `.coverage` preexistentes para las pruebas PHPT como una condición de error. A partir de las versiones 12.5.8, 11.5.50, 10.5.62, 9.6.33, cuando se detecta un archivo `.coverage` para una prueba PHPT antes de la ejecución, PHPUnit emitirá un mensaje de error claro que identifique el estado anómalo. Las organizaciones pueden reducir el riesgo efectivo de esta vulnerabilidad a través de una configuración adecuada de CI/CD, incluyendo ejecutores efímeros, aplicación de revisión de código, protección de ramas, aislamiento de artefactos y control de acceso.

RAGFlow es un motor RAG (Generación Aumentada por Recuperación) de código abierto. En la versión 0.23.1 y posiblemente versiones anteriores, el analizador MinerU contiene una vulnerabilidad 'Zip Slip', permitiendo a un atacante sobrescribir archivos arbitrarios en el servidor (lo que lleva a la ejecución remota de código) a través de un archivo ZIP malicioso. La clase MinerUParser recupera y extrae archivos ZIP de una fuente externa (mineru_server_url). La lógica de extracción en '_extract_zip_no_root' no logra sanear los nombres de archivo dentro del archivo ZIP. El commit 64c75d558e4a17a4a48953b4c201526431d8338f contiene un parche para el problema.

gmrtd es una librería Go para leer Documentos de Viaje de Lectura Mecánica (MRTDs). Antes de la versión 0.17.2, ReadFile acepta TLVs con longitudes que pueden oscilar hasta 4GB, lo que puede causar un consumo de recursos sin restricciones tanto en memoria como en ciclos de CPU. ReadFile puede consumir un TLV extendido con longitudes muy superiores a lo que estaría disponible en los ICs. Puede aceptar algo de hasta 4GB, lo que requeriría demasiadas iteraciones en bloques de 256 bytes, y también intentaría asignar memoria que podría no estar disponible en entornos restringidos como los teléfonos. O si una API envía datos a ReadFile, el mismo problema se aplica. La lectura en bloques muy pequeños también bloquea la goroutine al aceptar datos durante un número muy grande de iteraciones. Los proyectos que utilizan la librería gmrtd para leer archivos de NFCs pueden experimentar ralentizaciones extremas o consumo de memoria. Un NFC malicioso puede simplemente comportarse como el transceptor simulado descrito anteriormente y, simplemente enviando bytes ficticios como cada bloque a leer, puede hacer que el hilo receptor no responda y llenar la memoria del sistema anfitrión. La versión 0.17.2 corrige el problema.

Dozzle es un visor de logs en tiempo real para contenedores Docker. Antes de la versión 9.0.3, una falla en los puntos finales de shell respaldados por agente de Dozzle permite a un usuario restringido por filtros de etiquetas (por ejemplo, 'label=env=dev') obtener un shell root interactivo en contenedores fuera de alcance (por ejemplo, 'env=prod') en el mismo host de agente al apuntar directamente a sus IDs de contenedor. La versión 9.0.3 contiene un parche para el problema.

Squidex es un sistema de gestión de contenido sin cabeza de código abierto y un centro de gestión de contenido. Las versiones de la aplicación hasta la 7.21.0 inclusive permiten a los usuarios definir 'Webhooks' como acciones dentro del motor de Reglas. El parámetro url en la configuración del webhook no parece validar ni restringir las direcciones IP de destino. Acepta direcciones locales como 127.0.0.1 o localhost. Cuando se activa una regla (Ya sea por activación manual llamando manualmente al endpoint de activación o por una actualización de contenido o cualquier otra activación), el servidor backend ejecuta una solicitud HTTP a la URL proporcionada por el usuario. Fundamentalmente, el servidor registra la respuesta HTTP completa en el registro de ejecución de la regla (campo lastDump), que es accesible a través de la API. Lo que convierte un SSRF 'Ciego' en un SSRF de 'Lectura Completa'. Al momento de la publicación, no hay versiones parcheadas disponibles.

Implementación inapropiada en la API Background Fetch en Google Chrome anterior a 144.0.7559.110 permitió a un atacante remoto filtrar datos de origen cruzado a través de una página HTML manipulada. (Gravedad de seguridad de Chromium: Alta)

Una vulnerabilidad de omisión de autenticación usando una ruta o canal alternativo en el router Session Smart de Juniper Networks puede permitir a un atacante basado en la red omitir la autenticación y tomar el control administrativo del dispositivo.<br /> <br /> Este problema afecta al Router Session Smart:<br /> <br /> * desde 5.6.7 antes de 5.6.17,<br /> * desde 6.0 antes de 6.0.8 (afectado desde 6.0.8),<br /> * desde 6.1 antes de 6.1.12-lts,<br /> * desde 6.2 antes de 6.2.8-lts,<br /> * desde 6.3 antes de 6.3.3-r2;<br /> <br /> Este problema afecta al Conductor Session Smart:<br /> <br /> * desde 5.6.7 antes de 5.6.17,<br /> * desde 6.0 antes de 6.0.8 (afectado desde 6.0.8),<br /> * desde 6.1 antes de 6.1.12-lts,<br /> * desde 6.2 antes de 6.2.8-lts,<br /> * desde 6.3 antes de 6.3.3-r2;<br /> <br /> Este problema afecta a los Routers Gestionados de WAN Assurance:<br /> <br /> * desde 5.6.7 antes de 5.6.17,<br /> * desde 6.0 antes de 6.0.8 (afectado desde 6.0.8),<br /> * desde 6.1 antes de 6.1.12-lts,<br /> * desde 6.2 antes de 6.2.8-lts,<br /> * desde 6.3 antes de 6.3.3-r2.

pypdf es una librería PDF de Python puro, gratuita y de código abierto. Un atacante que utiliza una vulnerabilidad de bucle infinito presente en versiones anteriores a la 6.6.2 puede crear un PDF que conduce a un bucle infinito. Esto requiere acceder a los esquemas/marcadores. Esto ha sido corregido en pypdf 6.6.2. Si los proyectos aún no pueden actualizar, considere aplicar los cambios de la PR #3610 manualmente.