Vulnerabilidades

OpenEXR proporciona la especificación y la implementación de referencia del formato de archivo EXR, un formato de almacenamiento de imágenes para la industria cinematográfica. En las versiones 3.2.0 a la 3.2.4, 3.3.0 a la 3.3.5 y 3.4.0 a la 3.4.2, un error de seguridad de memoria en el adaptador Python heredado de OpenEXR (el envoltorio obsoleto OpenEXR.InputFile) permite fallos y una probable ejecución de código al abrir archivos EXR controlados por el atacante o al pasar objetos Python manipulados. El desbordamiento de enteros y la asignación no verificada en InputFile.channel() e InputFile.channels() pueden conducir a un desbordamiento de montículo (32 bits) o a una desreferencia de NULL (64 bits). Las versiones 3.2.5, 3.3.6 y 3.4.3 contienen un parche para el problema.

OpenEXR proporciona la especificación y la implementación de referencia del formato de archivo EXR, un formato de almacenamiento de imágenes para la industria cinematográfica. En las versiones 3.2.0 a 3.2.4, 3.3.0 a 3.3.5 y 3.4.0 a 3.4.2, existe un uso después de la liberación en PyObject_StealAttrString de pyOpenEXR_old.cpp. El adaptador heredado define PyObject_StealAttrString que llama a PyObject_GetAttrString para obtener una nueva referencia, la decrementa inmediatamente y devuelve el puntero. Los llamadores luego pasan este puntero colgante a APIs como PyLong_AsLong/PyFloat_AsDouble, lo que resulta en un uso después de liberación. Esto se invoca en múltiples lugares (por ejemplo, al leer PixelType.v, Box2i, V2f, etc.). Las versiones 3.2.5, 3.3.6 y 3.4.3 corrigen el problema.

OAuth2-Proxy es una herramienta de código abierto que puede funcionar como un proxy inverso independiente o como un componente de middleware integrado en configuraciones de proxy inverso o balanceador de carga existentes. En versiones anteriores a la 7.13.0, todas las implementaciones de OAuth2 Proxy delante de aplicaciones que normalizan los guiones bajos a guiones en los encabezados HTTP (por ejemplo, frameworks basados en WSGI como Django, Flask, FastAPI y aplicaciones PHP). Los usuarios autenticados pueden inyectar variantes con guion bajo de los encabezados X-Forwarded-* que eluden la lógica de filtrado del proxy, lo que podría escalar privilegios en la aplicación upstream. La autenticación/autorización de OAuth2 Proxy en sí misma no está comprometida. El problema ha sido parcheado con la v7.13.0. Por defecto, todos los encabezados especificados ahora serán normalizados, lo que significa que tanto la capitalización como el uso de guiones bajos (_) frente a guiones (-) serán ignorados al hacer coincidir los encabezados a eliminar. Por ejemplo, tanto 'X-Forwarded-For' como 'X_Forwarded-for' ahora serán tratados como equivalentes y eliminados. Para aquellos que tienen una razón que requiere mantener un encabezado de apariencia similar y no eliminarlo, los mantenedores introdujeron un nuevo campo de configuración para los encabezados gestionados a través de AlphaConfig llamado 'InsecureSkipHeaderNormalization'. Como solución alternativa, asegúrese de que la lógica de filtrado y procesamiento en los servicios upstream no trate los guiones bajos y los guiones en los encabezados de la misma manera.

*** Pendiente de traducción *** ProsemirrorToHtml is a JSON converter which takes ProseMirror-compatible JSON and outputs HTML. In versions 0.2.0 and below, the `prosemirror_to_html` gem is vulnerable to Cross-Site Scripting (XSS) attacks through malicious HTML attribute values. While tag content is properly escaped, attribute values are not, allowing attackers to inject arbitrary JavaScript code. Applications that use `prosemirror_to_html` to convert ProseMirror documents to HTML, user-generated ProseMirror content, and end users viewing the rendered HTML output are all at risk of attack. This issue is fixed in version 0.2.1.

Parse Server es un backend de código abierto que puede implementarse en cualquier infraestructura que pueda ejecutar Node.js. El método 'explain()' de MongoDB proporciona información detallada sobre los planes de ejecución de consultas, incluyendo el uso de índices, el comportamiento de escaneo de colecciones y las métricas de rendimiento. Antes de la versión 8.5.0-alpha.5, Parse Server permite a cualquier cliente ejecutar consultas explain sin requerir la clave maestra. Esto expone la estructura del esquema de la base de datos y los nombres de los campos, las configuraciones de índices y los detalles de optimización de consultas, las estadísticas de ejecución de consultas y las métricas de rendimiento, y posibles vectores de ataque para la explotación del rendimiento de la base de datos. En la versión 8.5.0-alpha.5, se ha introducido una nueva opción de configuración 'databaseOptions.allowPublicExplain' que permite restringir las consultas 'explain' a la clave maestra. La opción por defecto es 'true' por ahora para evitar un cambio disruptivo en los sistemas de producción que dependen de la disponibilidad pública de 'explain'. Además, se registra una advertencia de seguridad cuando la opción no se establece explícitamente, o se establece en 'true'. En una futura versión principal de Parse Server, el valor por defecto cambiará a 'false'. Como solución alternativa, implemente middleware para bloquear las consultas explain de solicitudes sin clave maestra, o monitoree y alerte sobre el uso de consultas explain en entornos de producción.

La validación de entrada inadecuada en OneFlow v0.9.0 permite a los atacantes causar un fallo de segmentación mediante la adición de una secuencia de Python al código nativo durante la difusión/conversión de tipos.

changedetection.io es una herramienta de detección de cambios en páginas web de código abierto gratuita. Un Cross-Site Scripting Almacenado está presente en la API de actualización de Watch de changedetection.io en versiones anteriores a la 0.50.34 debido a comprobaciones de seguridad insuficientes. Dos escenarios son posibles. En el primero, un atacante puede insertar un nuevo watch con una URL arbitraria que realmente apunta a una página web. Una vez que se recupera el contenido HTML, el atacante actualiza la URL con una carga útil de JavaScript. En el segundo, un atacante sustituye la URL en un watch existente con una nueva URL que es en realidad una carga útil de JavaScript. Cuando el usuario hace clic en *Preview* y luego en el enlace malicioso, se ejecuta el código malicioso de JavaScript. La versión 0.50.34 corrige el problema.

Combodo iTop es una herramienta de gestión de servicios de TI basada en web. Las versiones anteriores a la 2.7.13 y 3.2.2 son vulnerables a un ataque de cross-site scripting (que conduce a la ejecución de JS) al editar el parámetro URL. Las versiones 2.7.13 y 3.2.2 no utilizan export.php, que fue desaprobado. En su lugar, utilizan export-v2.php.

OpenEXR proporciona la especificación y la implementación de referencia del formato de archivo EXR, un formato de almacenamiento de imágenes para la industria cinematográfica. En las versiones 3.3.0 a 3.3.5 y 3.4.0 a 3.4.2, al realizar fuzzing en 'openexr_exrcheck_fuzzer', Valgrind informa una bifurcación condicional que depende de datos no inicializados dentro de 'generic_unpack'. Esto indica un uso de memoria no inicializada. El problema puede resultar en un comportamiento indefinido y/o un posible crash/denegación de servicio. Las versiones 3.3.6 y 3.4.3 solucionan el problema.

*** Pendiente de traducción *** Combodo iTop is a web based IT service management tool. In versions prior to 2.7.13 and 3.2.2, a user that has enough rights to create webhooks (mostly administrators) can drop the database. This is fixed in iTop 2.7.13 and 3.2.2 by verifying callback signature.

ktg-mes anterior al commit a484f96 (2025-07-03) tiene una vulnerabilidad de deserialización de fastjson. Esto se debe a que utiliza una versión vulnerable de fastjson y deserializa datos de entrada inseguros.

El firmware v33.53.87 de la cámara de seguridad inteligente KERUI K259 5MP Wi-Fi / Tuya contiene una vulnerabilidad de ejecución de código en su lógica de arranque/actualización: durante el arranque, /usr/sbin/anyka_service.sh escanea las tarjetas TF/SD montadas y, si /mnt/update.nor.sh está presente, lo copia a /tmp/net.sh y lo ejecuta como root.