Vulnerabilidades

pnpm es un gestor de paquetes. Antes de la versión 10.28.1, una vulnerabilidad de salto de ruta en la extracción de tarball de pnpm permite a paquetes maliciosos escribir archivos fuera del directorio del paquete en Windows. La normalización de rutas solo verifica `./` pero no `.\`. En Windows, las barras invertidas son separadores de directorio, lo que permite el salto de ruta. Esta vulnerabilidad es solo para Windows. Este problema afecta a usuarios de pnpm en Windows y a las pipelines de CI/CD en Windows (ejecutores de GitHub Actions en Windows, Azure DevOps). Puede llevar a la sobrescritura de .npmrc, configuraciones de compilación u otros archivos. La versión 10.28.1 contiene un parche.

pnpm es un gestor de paquetes. Antes de la versión 10.28.1, una vulnerabilidad de salto de ruta en el enlace de binarios de pnpm permite a paquetes npm maliciosos crear shims ejecutables o enlaces simbólicos fuera de 'node_modules/.bin'. Los nombres de binarios que comienzan con '@' eluden la validación, y después de la normalización del ámbito, secuencias de salto de ruta como '../../' permanecen intactas. Este problema afecta a todos los usuarios de pnpm que instalan paquetes npm y a los pipelines CI/CD que utilizan pnpm. Puede llevar a la sobrescritura de archivos de configuración, scripts u otros archivos sensibles. La versión 10.28.1 contiene un parche.

EVerest es una pila de software de carga de vehículos eléctricos. En versiones hasta la 2025.12.1 inclusive, es posible omitir la verificación del estado de la secuencia, incluyendo la autenticación, y enviar solicitudes que transicionan a estados prohibidos en relación con el actual, actualizando así el contexto actual con datos ilegítimos. Gracias al diseño modular de EVerest, la autorización se gestiona en un módulo separado y la máquina de estados interna del cargador EVSEManager no puede transicionar fuera del estado 'WaitingForAuthentication' a través de la comunicación ISO 15118-2. Desde este estado, sin embargo, fue posible a través de mensajes ISO 15118-2 que se publican en el servidor MQTT engañarlo para que se prepare para cargar, e incluso para que se prepare para enviar corriente. El requisito final para enviar corriente al vehículo eléctrico fue el cierre de los contactores, lo cual no parece ser posible sin salir del estado 'WaitingForAuthentication' y aprovechar los mensajes ISO 15118-2. A la fecha de publicación, no hay versiones corregidas disponibles.

pnpm es un gestor de paquetes. Antes de la versión 10.28.2, cuando pnpm instala una dependencia 'file:' (directorio) o 'git:', sigue los enlaces simbólicos y lee el contenido de sus destinos sin restringirlos a la raíz del paquete. Un paquete malicioso que contiene un enlace simbólico a una ruta absoluta (por ejemplo, '/etc /passwd', '~/.ssh/id_rsa') hace que pnpm copie el contenido de ese archivo en 'node_modules', filtrando datos locales. La vulnerabilidad solo afecta a las dependencias 'file:' y 'git:'. Los paquetes de registro (npm) tienen los enlaces simbólicos eliminados durante la publicación y NO se ven afectados. El problema afecta a los desarrolladores que instalan dependencias locales/de archivo y a las tuberías de CI/CD que instalan dependencias de git. Puede conducir al robo de credenciales a través de enlaces simbólicos a '~/.aws/credentials', '~/.npmrc', '~/.ssh/id_rsa'. La versión 10.28.2 contiene un parche.

pnpm es un gestor de paquetes. Antes de la versión 10.28.2, cuando pnpm procesa el campo 'directories.bin' de un paquete, utiliza 'path.join()' sin validar que el resultado permanezca dentro de la raíz del paquete. Un paquete npm malicioso puede especificar "directories": {"bin": "../../../../tmp"} para escapar del directorio del paquete, haciendo que pnpm aplique chmod 755 a archivos en ubicaciones arbitrarias. Este problema solo afecta a Unix/Linux/macOS. Windows no se ve afectado ('fixBin' está restringido por 'EXECUTABLE_SHEBANG_SUPPORTED'). La versión 10.28.2 contiene un parche.

vm2 es una vm/sandbox de código abierto para Node.js. En vm2, en versiones anteriores a la 3.10.2, la sanitización de las devoluciones de llamada de `Promise.prototype.then` `Promise.prototype.catch` puede ser eludida. Esto permite a los atacantes escapar de la sandbox y ejecutar código arbitrario. En lib/setup-sandbox.js, la función de devolución de llamada de `localPromise.prototype.then` es sanitizada, pero `globalPromise.prototype.then` no es sanitizada. El valor de retorno de las funciones asíncronas es un objeto `globalPromise`. La versión 3.10.2 corrige el problema.

dcap-qvl implementa la lógica de verificación de citas para DCAP (Data Center Attestation Primitives). Una vulnerabilidad presente en versiones anteriores a la 0.3.9 implica una brecha crítica en el proceso de verificación criptográfica dentro de dcap-qvl. La librería obtiene el colateral de Identidad QE (incluyendo qe_identity, qe_identity_signature y qe_identity_issuer_chain) del PCCS. Sin embargo, omite verificar la firma de Identidad QE contra su cadena de certificados y no aplica restricciones de política en el Informe QE. Un atacante puede falsificar los datos de Identidad QE para incluir en la lista blanca un Enclave de Citas malicioso o no Intel. Esto permite al atacante falsificar el QE y firmar citas no confiables que el verificador aceptará como válidas. Efectivamente, esto elude todo el modelo de seguridad de atestación remota, ya que el verificador ya no puede confiar en la entidad responsable de firmar las citas. Todas las implementaciones que utilizan la librería dcap-qvl para la verificación de citas SGX o TDX están afectadas. La vulnerabilidad ha sido parcheada en la versión 0.3.9 de dcap-qvl. La solución implementa la verificación criptográfica faltante para la firma de Identidad QE y aplica las comprobaciones requeridas para MRSIGNER, ISVPRODID e ISVSVN contra el Informe QE. Los usuarios de los paquetes '@phala/dcap-qvl-node' y '@phala/dcap-qvl-web' deberían cambiar a la implementación pura de JavaScript, '@phala/dcap-qvl'. No existen soluciones alternativas conocidas para esta vulnerabilidad. Los usuarios deben actualizar a la versión parcheada para asegurar que el colateral de Identidad QE sea verificado correctamente.

Una vulnerabilidad ha sido encontrada en iJason-Liu Books_Manager hasta 298ba736387ca37810466349af13a0fdf828e99c. Esto afecta una parte desconocida del archivo controllers/books_center/add_book_check.PHP. Tal manipulación del argumento mark lleva a cross site scripting. El ataque puede ser lanzado remotamente. El exploit ha sido divulgado al público y puede ser usado. Este producto no usa versionado. Esta es la razón por la que la información sobre las versiones afectadas y no afectadas no está disponible.

Una vulnerabilidad fue encontrada en iJason-Liu Books_Manager hasta 298ba736387ca37810466349af13a0fdf828e99c. Esta vulnerabilidad afecta código desconocido del archivo controllers/books_center/upload_bookCover.php. Realizar una manipulación del argumento book_cover resulta en una carga sin restricciones. El ataque puede ser iniciado de forma remota. El exploit ha sido hecho público y podría ser utilizado. Este producto utiliza un modelo de lanzamiento continuo para entregar actualizaciones continuas. Como resultado, la información de versión específica para las versiones afectadas o actualizadas no está disponible.

Una vulnerabilidad de denegación de servicio existe en versiones de Next.js con Partial Prerendering (PPR) habilitado cuando se ejecuta en modo minimal. El endpoint de reanudación de PPR acepta solicitudes POST no autenticadas con el encabezado &amp;#39;Next-Resume: 1&amp;#39; y procesa datos de estado pospuestos controlados por el atacante. Dos vulnerabilidades estrechamente relacionadas permiten a un atacante bloquear el proceso del servidor a través del agotamiento de la memoria:<br /> <br /> 1. Almacenamiento en búfer ilimitado del cuerpo de la solicitud: El servidor almacena en búfer todo el cuerpo de la solicitud POST en la memoria usando &amp;#39;Buffer.concat()&amp;#39; sin imponer ningún límite de tamaño, permitiendo que cargas útiles arbitrariamente grandes agoten la memoria disponible.<br /> <br /> 2. Descompresión ilimitada (zipbomb): La caché de datos de reanudación se descomprime usando &amp;#39;inflateSync()&amp;#39; sin limitar el tamaño de la salida descomprimida. Una pequeña carga útil comprimida puede expandirse a cientos de megabytes o gigabytes, causando agotamiento de la memoria.<br /> <br /> Ambos vectores de ataque resultan en un error fatal de V8 por falta de memoria (&amp;#39;FATAL ERROR: Reached heap limit Allocation failed - JavaScript heap out of memory&amp;#39;) lo que provoca la terminación del proceso de Node.js. La variante zipbomb es particularmente peligrosa ya que puede eludir los límites de tamaño de solicitud de los proxies inversos mientras sigue causando una gran asignación de memoria en el servidor.<br /> <br /> Para verse afectado, debe tener una aplicación ejecutándose con &amp;#39;experimental.ppr: true&amp;#39; o &amp;#39;cacheComponents: true&amp;#39; configurado junto con la variable de entorno NEXT_PRIVATE_MINIMAL_MODE=1.<br /> <br /> Considere seriamente actualizar a 15.6.0-canary.61 o 16.1.5 para reducir el riesgo y prevenir problemas de disponibilidad en las aplicaciones Next.

Vulnerabilidad de inyección SQL en la Estructura para usuario autenticado de Admin

Una vulnerabilidad de denegación de servicio existe en aplicaciones Next.js autoalojadas que tienen `remotePatterns` configurado para el Optimizador de Imágenes. El endpoint de optimización de imágenes (`/_next/image`) carga imágenes externas completamente en memoria sin aplicar un límite de tamaño máximo, permitiendo a un atacante causar condiciones de falta de memoria al solicitar la optimización de imágenes arbitrariamente grandes. Esta vulnerabilidad requiere que `remotePatterns` esté configurado para permitir la optimización de imágenes desde dominios externos y que el atacante pueda servir o controlar una imagen grande en un dominio permitido.<br /> <br /> Considere encarecidamente actualizar a 15.5.10 o 16.1.5 para reducir el riesgo y prevenir problemas de disponibilidad en aplicaciones Next.