Vulnerabilidades

Vulnerabilidad de neutralización incorrecta de la entrada durante la generación de páginas web ('Cross-site Scripting') en Myriad Solutionz Stars SMTP Mailer permite XSS reflejado. Este problema afecta a Stars SMTP Mailer: desde n/a hasta 1.7.

Vulnerabilidad de neutralización incorrecta de la entrada durante la generación de páginas web ('Cross-site Scripting') en altimawebsystems.com Altima Lookbook Free para WooCommerce permite XSS reflejado. Este problema afecta a Altima Lookbook Free para WooCommerce: desde n/a hasta 1.1.0.

La vulnerabilidad de Cross-Site Request Forgery (CSRF) en Oren Yomtov Mass Custom Fields Manager permite XSS reflejado. Este problema afecta a Mass Custom Fields Manager: desde n/a hasta 1.5.

La vulnerabilidad de neutralización incorrecta de la entrada durante la generación de páginas web ('Cross-site Scripting') en AlTi5 AlT Report permite XSS reflejado. Este problema afecta a AlT Report: desde n/a hasta 1.12.0.

Vulnerabilidad de neutralización incorrecta de la entrada durante la generación de páginas web ('Cross-site Scripting') en Albertolabs.com Easy EU Cookie law permite XSS almacenados. Este problema afecta a Easy EU Cookie law: desde n/a hasta 1.3.3.1.

La vulnerabilidad de Cross-Site Request Forgery (CSRF) en David Marcucci Password Protect Plugin for WordPress para WordPress permite XSS almacenado. Este problema afecta a Password Protect Plugin for WordPress: desde n/a hasta 0.8.1.0.

La vulnerabilidad de Cross-Site Request Forgery (CSRF) en Capa Wp-Scribd-List permite XSS almacenado. Este problema afecta a Wp-Scribd-List: desde n/a hasta 1.2.

El servidor Zulip ofrece un chat de equipo de código abierto que ayuda a los equipos a mantenerse productivos y concentrados. Zulip Server 7.0 y versiones posteriores son vulnerables a un ataque de divulgación de información, en el que, si un servidor Zulip aloja varias organizaciones, un usuario no autenticado puede realizar una solicitud y determinar si un usuario está utilizando una dirección de correo electrónico. Zulip Server 9.4 resuelve el problema, al igual que la rama "principal" de Zulip Server. Se recomienda a los usuarios que actualicen. No existen workarounds conocidos para este problema.

Matrix Media Repo (MMR) es un repositorio multimedia para múltiples servidores domésticos altamente configurable para Matrix. Si los generadores de miniaturas SVG o JPEGXL están habilitados (están deshabilitados de manera predeterminada), un usuario puede cargar un archivo que diga ser de cualquiera de estos tipos y solicitar una miniatura para invocar un decodificador diferente en ImageMagick. En algunas instalaciones de ImageMagick, esto incluye la capacidad de ejecutar Ghostscript para decodificar la imagen/archivo. Si los generadores de miniaturas MP4 están habilitados (también deshabilitados de manera predeterminada), puede ocurrir el mismo problema mencionado anteriormente con la instalación de ffmpeg. MMR usa otros decodificadores para todos los demás tipos de archivos al preparar miniaturas. Es posible que surjan problemas teóricos con estos decodificadores, sin embargo, en las pruebas no fue posible explotarlos. Esto se solucionó en MMR v1.3.8. MMR ahora inspecciona el tipo MIME de los medios antes de crear miniaturas y elige un generador de miniaturas en función de esos resultados en lugar de depender de los valores proporcionados por el usuario. Esto puede generar menos miniaturas cuando se usan formas de archivo poco conocidas. Esto también ayuda a limitar el alcance de los problemas teóricos con todos los decodificadores que utiliza MMR para las miniaturas. Se recomienda a los usuarios que actualicen. Los usuarios que no puedan actualizar pueden deshabilitar los tipos de miniatura SVG, JPEGXL y MP4 en la configuración de MMR, lo que evita que se invoquen los decodificadores. Se recomienda deshabilitar aún más los tipos de archivos poco comunes en el servidor para limitar la superficie de riesgo. También se pueden usar contenedores y otras tecnologías similares para limitar el impacto de las vulnerabilidades en decodificadores externos, como ImageMagick y ffmpeg. Algunas instalaciones de ImageMagick ya pueden deshabilitar los tipos de archivos "inseguros", como los PDF. Esta opción se puede replicar en otros entornos según sea necesario. ffmpeg se puede compilar con decodificadores/códecs limitados. La imagen de Docker para MMR deshabilita los PDF y formatos similares de forma predeterminada.

La vulnerabilidad de autorización faltante en SendGrid para WordPress de Smackcoders permite explotar niveles de seguridad de control de acceso configurados incorrectamente. Este problema afecta a SendGrid para WordPress: desde n/a hasta 1.4.

Vulnerabilidad de Cross-Site Request Forgery (CSRF) en Brian Novotny – Creative Software Design Solutions Marquee Style RSS News Ticker permite Cross-Site Request Forgery. Este problema afecta a Marquee Style RSS News Ticker: desde n/a hasta 3.2.0.

La vulnerabilidad de Cross-Site Request Forgery (CSRF) en go Social de Wizcrew Technologies permite XSS almacenado. Este problema afecta a go Social: desde n/a hasta 1.0.