Vulnerabilidades

FileRise es un gestor de archivos web / servidor WebDAV autoalojado. En versiones anteriores a la 3.8.0, una vulnerabilidad de autenticación faltante en el endpoint deleteShareLink permite a cualquier usuario no autenticado eliminar enlaces de archivos compartidos arbitrarios proporcionando solo el token de compartición, causando denegación de servicio al acceso a archivos compartidos. El endpoint POST /api/file/deleteShareLink.php llama a FileController::deleteShareLink() que no realiza ninguna autenticación, autorización o validación CSRF antes de eliminar un enlace de compartición. Cualquier cliente HTTP anónimo puede destruir enlaces de compartición. Este problema está solucionado en la versión 3.8.0.

FileRise es un gestor de archivos web autoalojado / servidor WebDAV. En versiones anteriores a la 3.8.0, el endpoint de carga WebDAV acepta cualquier extensión de archivo incluyendo .phtml, .php5, .htaccess, y otros tipos ejecutables del lado del servidor, eludiendo la validación de nombre de archivo impuesta por la ruta de carga regular. En despliegues no predeterminados que carecen de la protección LocationMatch de Apache, esto lleva a la ejecución remota de código. Cuando los archivos se cargan a través de WebDAV, el método createFile() en FileRiseDirectory.php y el método put() en FileRiseFile.php aceptan el nombre de archivo directamente del cliente WebDAV sin ninguna validación. En contraste, el endpoint de carga regular en UploadModel::upload() valida los nombres de archivo contra REGEX_FILE_NAME. Este problema está solucionado en la versión 3.8.0.

FileRise es un gestor de archivos web autoalojado / servidor WebDAV. En versiones anteriores a la 3.9.0, se utiliza una clave de cifrado predeterminada codificada de forma rígida (default_please_change_this_key) para todas las operaciones criptográficas — generación de tokens HMAC, cifrado de configuración AES y tokens de sesión — permitiendo a cualquier atacante no autenticado forjar tokens de carga para la subida arbitraria de archivos a carpetas compartidas, y descifrar secretos de configuración de administrador, incluidos secretos de cliente OIDC y contraseñas SMTP. FileRise usa una única clave (PERSISTENT_TOKENS_KEY) para todas las operaciones criptográficas. El valor predeterminado default_please_change_this_key está codificado de forma rígida en dos lugares y se utiliza a menos que el implementador anule explícitamente la variable de entorno. Este problema está solucionado en la versión 3.9.0.

FastGPT es una plataforma de creación de agentes de IA. En las versiones 4.14.8.3 e inferiores, el flujo de trabajo fastgpt-preview-image.yml es vulnerable a la ejecución de código arbitrario y a la exfiltración de secretos por cualquier colaborador externo. Utiliza pull_request_target (que se ejecuta con acceso a los secretos del repositorio) pero extrae código del fork del autor de la solicitud de extracción, luego construye y envía imágenes Docker utilizando Dockerfiles controlados por el atacante. Esto también permite un ataque a la cadena de suministro a través del registro de contenedores de producción. Un parche no estaba disponible en el momento de la publicación.

El plugin ilGhera Carta Docente para WooCommerce para WordPress es vulnerable a salto de ruta en todas las versiones hasta la 1.5.0, inclusive, a través del parámetro 'cert' de la acción AJAX 'wccd-delete-certificate'. Esto se debe a una validación insuficiente de la ruta del archivo antes de realizar una eliminación de archivo. Esto hace posible que atacantes autenticados, con acceso de nivel de Administrador o superior, eliminen archivos arbitrarios en el servidor, como wp-config.php, lo que puede hacer posible la toma de control del sitio y la ejecución remota de código.

El plugin CM Custom Reports – Flexible reporting to track what matters most para WordPress es vulnerable a cross-site scripting almacenado a través de la configuración de administrador en todas las versiones hasta la 1.2.7, inclusive, debido a una sanitización de entrada y un escape de salida insuficientes. Esto permite que atacantes autenticados, con permisos de nivel de administrador y superiores, inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada. Esto solo afecta a instalaciones multisitio e instalaciones donde se ha deshabilitado unfiltered_html.

Qwik es un framework de JavaScript centrado en el rendimiento. Las versiones anteriores a la 1.19.2 inferían incorrectamente arrays a partir de nombres de campos de formulario con puntos durante el análisis de FormData. Al enviar claves de índice de array y de propiedad de objeto mezcladas para la misma ruta, un atacante podría hacer que las propiedades controladas por el usuario se escribieran sobre valores que el código de la aplicación esperaba que fueran arrays. Al procesar solicitudes application/x-www-form-urlencoded o multipart/form-data, Qwik City convertía los nombres de campo con puntos (p. ej., items.0, items.1) en estructuras anidadas. Si una ruta se interpretaba como un array, claves adicionales proporcionadas por el atacante en esa ruta —como items.toString, items.push, items.valueOf o items.length— podrían alterar el valor resultante del lado del servidor de formas inesperadas, lo que podría llevar a fallos en el manejo de solicitudes, denegación de servicio a través de un estado de array malformado o longitudes excesivas, y confusión de tipos en el código subsiguiente. Este problema se solucionó en la versión 1.19.2.

SiYuan es un sistema de gestión de conocimiento personal. En las versiones 3.6.0 e inferiores, la función renderREADME del backend utiliza lute.New() sin llamar a SetSanitize(true), lo que permite que el HTML sin procesar incrustado en Markdown pase sin modificar. El frontend luego asigna el HTML renderizado a innerHTML sin ninguna sanitización adicional. Un autor de paquete malicioso puede incrustar JavaScript arbitrario en su README que se ejecuta cuando un usuario hace clic para ver los detalles del paquete. Debido a que la configuración de Electron de SiYuan habilita nodeIntegration: true con contextIsolation: false, este XSS escala directamente a la ejecución remota de código completa. El problema fue parcheado en la versión 3.6.1.

SiYuan es un sistema de gestión de conocimiento personal. Las versiones 3.6.0 e inferiores renderizan los campos de metadatos del paquete (displayName, description) utilizando literales de plantilla sin escape HTML. Un autor de paquete malicioso puede inyectar HTML/JavaScript arbitrario en estos campos, lo que se ejecuta automáticamente cuando cualquier usuario navega por la página de Bazaar. Debido a que la configuración de Electron de SiYuan habilita nodeIntegration: true con contextIsolation: false, este XSS escala directamente a la ejecución remota de código completa en el sistema operativo de la víctima — con cero interacción del usuario más allá de abrir la pestaña del marketplace. Este problema ha sido solucionado en la versión 3.6.1.

En el kernel de Linux, la siguiente vulnerabilidad ha sido resuelta:<br /> <br /> netfilter: xt_IDLETIMER: rechazar la reutilización de rev0 de etiquetas de temporizador ALARM<br /> <br /> Las reglas de la revisión 0 de IDLETIMER reutilizan temporizadores existentes por etiqueta y siempre llaman a mod_timer() en timer-&amp;gt;timer.<br /> <br /> Si la etiqueta fue creada primero por la revisión 1 con XT_IDLETIMER_ALARM, el objeto utiliza semántica de temporizador de alarma y timer-&amp;gt;timer nunca se inicializa. Reutilizar ese objeto de la revisión 0 causa mod_timer() en una timer_list no inicializada, lo que activa advertencias de debugobjects y un posible pánico cuando panic_on_warn=1.<br /> <br /> Solucione esto rechazando la inserción de reglas de la revisión 0 cuando un temporizador existente con la misma etiqueta es de tipo ALARM.

En el kernel de Linux, la siguiente vulnerabilidad ha sido resuelta:<br /> <br /> io_uring: asegurar que ctx-&amp;gt;rings sea estable para la manipulación de las banderas de trabajo de tarea<br /> <br /> Si se usa DEFER_TASKRUN | SETUP_TASKRUN y se añade trabajo de tarea mientras el anillo está siendo redimensionado, es posible que la operación OR de IORING_SQ_TASKRUN ocurra en la pequeña ventana de intercambio a los nuevos anillos y la liberación de los anillos antiguos.<br /> <br /> Esto se previene añadiendo un segundo puntero -&amp;gt;rings, -&amp;gt;rings_rcu, el cual está protegido por RCU. La manipulación de las banderas de trabajo de tarea ya está dentro de RCU, y si la liberación del anillo redimensionado se realiza después de una sincronización RCU, entonces no hay necesidad de añadir bloqueo a la ruta rápida de las adiciones de trabajo de tarea.<br /> <br /> Nota: esto solo se hace para DEFER_TASKRUN, ya que ese es el único modo de configuración que soporta el redimensionamiento de anillos. Si esto alguna vez cambia, entonces ellos también necesitarán usar la función auxiliar io_ctx_mark_taskrun().

En el kernel de Linux, la siguiente vulnerabilidad ha sido resuelta:<br /> <br /> net: añadir límite de recursión de xmit a las funciones xmit de túnel<br /> <br /> Las funciones xmit de túnel (iptunnel_xmit, ip6tunnel_xmit) carecen de su propio límite de recursión. Cuando un dispositivo bond en modo broadcast tiene interfaces GRE tap como esclavos, y esos túneles GRE enrutan de vuelta a través del bond, el tráfico multicast/broadcast desencadena una recursión infinita entre bond_xmit_broadcast() y ip_tunnel_xmit()/ip6_tnl_xmit(), causando un desbordamiento de pila del kernel.<br /> <br /> El XMIT_RECURSION_LIMIT (8) existente en la ruta sin qdisc no es suficiente porque la recursión del túnel implica búsquedas de ruta y salida IP completa, consumiendo mucha más pila por nivel. Use un límite inferior de 4 (IP_TUNNEL_RECURSION_LIMIT) para prevenir el desbordamiento.<br /> <br /> Añada detección de recursión usando las funciones auxiliares dev_xmit_recursion directamente en iptunnel_xmit() y ip6tunnel_xmit() para cubrir todas las rutas de túnel IPv4/IPv6, incluyendo los túneles encapsulados UDP (VXLAN, Geneve, etc.).<br /> <br /> Mueva las funciones auxiliares dev_xmit_recursion de net/core/dev.h al encabezado público include/linux/netdevice.h para que puedan ser usadas por el código del túnel.<br /> <br /> BUG: KASAN: pila-fuera-de-límites en blake2s.constprop.0+0xe7/0x160<br /> Escritura de tamaño 32 en la dirección ffff88810033fed0 por la tarea kworker/0:1/11<br /> Cola de trabajo: mld mld_ifc_work<br /> Rastro de Llamada:<br /> <br /> __build_flow_key.constprop.0 (net/ipv4/route.c:515)<br /> ip_rt_update_pmtu (net/ipv4/route.c:1073)<br /> iptunnel_xmit (net/ipv4/ip_tunnel_core.c:84)<br /> ip_tunnel_xmit (net/ipv4/ip_tunnel.c:847)<br /> gre_tap_xmit (net/ipv4/ip_gre.c:779)<br /> dev_hard_start_xmit (net/core/dev.c:3887)<br /> sch_direct_xmit (net/sched/sch_generic.c:347)<br /> __dev_queue_xmit (net/core/dev.c:4802)<br /> bond_dev_queue_xmit (drivers/net/bonding/bond_main.c:312)<br /> bond_xmit_broadcast (drivers/net/bonding/bond_main.c:5279)<br /> bond_start_xmit (drivers/net/bonding/bond_main.c:5530)<br /> dev_hard_start_xmit (net/core/dev.c:3887)<br /> __dev_queue_xmit (net/core/dev.c:4841)<br /> ip_finish_output2 (net/ipv4/ip_output.c:237)<br /> ip_output (net/ipv4/ip_output.c:438)<br /> iptunnel_xmit (net/ipv4/ip_tunnel_core.c:86)<br /> gre_tap_xmit (net/ipv4/ip_gre.c:779)<br /> dev_hard_start_xmit (net/core/dev.c:3887)<br /> sch_direct_xmit (net/sched/sch_generic.c:347)<br /> __dev_queue_xmit (net/core/dev.c:4802)<br /> bond_dev_queue_xmit (drivers/net/bonding/bond_main.c:312)<br /> bond_xmit_broadcast (drivers/net/bonding/bond_main.c:5279)<br /> bond_start_xmit (drivers/net/bonding/bond_main.c:5530)<br /> dev_hard_start_xmit (net/core/dev.c:3887)<br /> __dev_queue_xmit (net/core/dev.c:4841)<br /> ip_finish_output2 (net/ipv4/ip_output.c:237)<br /> ip_output (net/ipv4/ip_output.c:438)<br /> iptunnel_xmit (net/ipv4/ip_tunnel_core.c:86)<br /> ip_tunnel_xmit (net/ipv4/ip_tunnel.c:847)<br /> gre_tap_xmit (net/ipv4/ip_gre.c:779)<br /> dev_hard_start_xmit (net/core/dev.c:3887)<br /> sch_direct_xmit (net/sched/sch_generic.c:347)<br /> __dev_queue_xmit (net/core/dev.c:4802)<br /> bond_dev_queue_xmit (drivers/net/bonding/bond_main.c:312)<br /> bond_xmit_broadcast (drivers/net/bonding/bond_main.c:5279)<br /> bond_start_xmit (drivers/net/bonding/bond_main.c:5530)<br /> dev_hard_start_xmit (net/core/dev.c:3887)<br /> __dev_queue_xmit (net/core/dev.c:4841)<br /> mld_sendpack<br /> mld_ifc_work<br /> process_one_work<br /> worker_thread<br />