Vulnerabilidades

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: x86/sev: Usar TSC_FACTOR para el cálculo de frecuencia de Secure TSC. Al usar Secure TSC, el MSR GUEST_TSC_FREQ informa una frecuencia basada en la frecuencia P0 nominal, que se desvía ligeramente (normalmente ~0,2 %) de la frecuencia media real de TSC debido a los parámetros de reloj. Con el tiempo de actividad prolongado de la máquina virtual, esta discrepancia se acumula, causando un sesgo de reloj entre el hipervisor y una máquina virtual SEV-SNP, lo que lleva a interrupciones tempranas del temporizador según lo percibe el invitado. El kernel invitado se basa en la frecuencia nominal informada para el control de tiempo basado en TSC, mientras que la frecuencia real establecida durante SNP_LAUNCH_START puede diferir. Esta falta de coincidencia resulta en cálculos de tiempo inexactos, lo que hace que el invitado perciba que los temporizadores hr se activan antes de lo esperado. Utilice el factor TSC_FACTOR de la página de secretos del firmware SEV (consulte "Formato de la página de secretos" en la especificación ABI del firmware SNP) para calcular la frecuencia media de TSC, lo que garantiza una sincronización precisa y mitiga el desfase de reloj en las máquinas virtuales SEV-SNP. Utilice early_ioremap_encrypted() para mapear la página de secretos, ya que ioremap_encrypted() utiliza kmalloc(), que no está disponible durante la inicialización temprana de TSC y provoca un pánico. [bp: Eliminar la variable ficticia: https://lore.kernel.org/r/20250630192726.GBaGLlHl84xIopx4Pt@fat_crate.local]

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: wifi: mac80211: rechazar el modo de operación VHT para anchos de canal no compatibles. Las notificaciones del modo de operación VHT no están definidas para anchos de canal inferiores a 20 MHz. En particular, 5 MHz y 10 MHz no son válidos según la especificación VHT y deben rechazarse. Sin esta comprobación, las notificaciones malformadas que utilicen estos anchos pueden alcanzar ieee80211_chan_width_to_rx_bw(), lo que genera un WARN_ON debido a una entrada no válida. Este problema fue reportado por syzbot. Rechace estos anchos no compatibles al principio de sta_link_apply_parameters() cuando se utilice opmode_notif. El conjunto aceptado incluye 20, 40, 80, 160 y 80+80 MHz, que son válidos para VHT. Si bien 320 MHz no está definido para VHT, se permite evitar rechazar clientes HE o EHT que aún puedan enviar una notificación de modo de operación VHT.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: btrfs: corrección de la aserción al construir un árbol de espacio libre Al construir el árbol de espacio libre con la función de árbol de grupo de bloques habilitada, podemos encontrarnos con un error de aserción como este: BTRFS info (device loop0 state M): rebuilding free space tree assertion failed: ret == 0, in fs/btrfs/free-space-tree.c:1102 ------------[ corte aquí ]------------ ¡ERROR del kernel en fs/btrfs/free-space-tree.c:1102! Error interno: Ups - BUG: 00000000f2000800 [#1] Módulos SMP vinculados: CPU: 1 UID: 0 PID: 6592 Comm: syz-executor322 No contaminado 6.15.0-rc7-syzkaller-gd7fa1af5b33e #0 PREEMPT Nombre del hardware: Google Google Compute Engine/Google Compute Engine, BIOS Google 05/07/2025 pstate: 60400005 (nZCv daif +PAN -UAO -TCO -DIT -SSBS BTYPE=--) pc : populate_free_space_tree+0x514/0x518 fs/btrfs/free-space-tree.c:1102 lr : populate_free_space_tree+0x514/0x518 fs/btrfs/árbol-de-espacio-libre.c:1102 sp : ffff8000a4ce7600 x29: ffff8000a4ce76e0 x28: ffff0000c9bc6000 x27: ffff0000ddfff3d8 x26: ffff0000ddfff378 x25: dfff800000000000 x24: 0000000000000001 x23: ffff8000a4ce7660 x22: ffff70001499cecc x21: ffff0000e1d8c160 x20: ffff0000e1cb7800 x19: ffff0000e1d8c0b0 x18: 00000000ffffffff x17: ffff800092f39000 x16: ffff80008ad27e48 x15: ffff700011e740c0 x14: 1ffff00011e740c0 x13: 0000000000000004 x12: ffffffffffffffff x11: ffff700011e740c0 x10: 0000000000ff0100 x9: 94ef24f55d2dbc00 x8: 94ef24f55d2dbc00 x7: 000000000000001 x6: 0000000000000001 x5: ffff8000a4ce6f98 x4: ffff80008f415ba0 x3: ffff800080548ef0 x2: 0000000000000000 x1: 0000000100000000 x0: 000000000000003e Rastreo de llamadas: populate_free_space_tree+0x514/0x518 fs/btrfs/free-space-tree.c:1102 (P) btrfs_rebuild_free_space_tree+0x14c/0x54c fs/btrfs/free-space-tree.c:1337 btrfs_start_pre_rw_mount+0xa78/0xe10 fs/btrfs/disk-io.c:3074 btrfs_remount_rw fs/btrfs/super.c:1319 [en línea] btrfs_reconfigure+0x828/0x2418 fs/btrfs/super.c:1543 reconfigure_super+0x1d4/0x6f0 fs/super.c:1083 do_remount fs/namespace.c:3365 [en línea] path_mount+0xb34/0xde0 fs/namespace.c:4200 do_mount fs/namespace.c:4221 [en línea] __do_sys_mount fs/namespace.c:4432 [en línea] __se_sys_mount fs/namespace.c:4409 [en línea] __arm64_sys_mount+0x3e8/0x468 fs/namespace.c:4409 __invoke_syscall arch/arm64/kernel/syscall.c:35 [en línea] invoke_syscall+0x98/0x2b8 arch/arm64/kernel/syscall.c:49 el0_svc_common+0x130/0x23c arch/arm64/kernel/syscall.c:132 do_el0_svc+0x48/0x58 arch/arm64/kernel/syscall.c:151 el0_svc+0x58/0x17c arch/arm64/kernel/entry-common.c:767 el0t_64_sync_handler+0x78/0x108 arch/arm64/kernel/entry-common.c:786 el0t_64_sync+0x198/0x19c arch/arm64/kernel/entry.S:600 Código: f0047182 91178042 528089c3 9771d47b (d4210000) ---[ fin del seguimiento 0000000000000000 ]--- Esto ocurre porque estamos procesando un grupo de bloques vacío, sin extensiones asignadas. No hay elementos para este grupo de bloques, incluido el elemento del grupo, ya que los elementos del grupo de bloques se almacenan en un árbol dedicado al usar la función de árbol de grupos de bloques. Esto también significa que este es el grupo de bloques con el desplazamiento inicial más alto, por lo que no hay claves superiores en la raíz de la extensión. Por lo tanto, btrfs_search_slot_for_read() devuelve 1 (no se encontró una clave superior). Para solucionar esto, establezca que 'ret' sea 0 solo si la función de árbol de grupos de bloques no está habilitada. En ese caso, deberíamos encontrar un elemento de grupo de bloques para el grupo de bloques, ya que se almacena en la raíz de la extensión y las claves de los elementos de grupo de bloques son mayores que las de la extensión (el valor de BTRFS_BLOCK_GROUP_ITEM_KEY es 192 y el de BTRFS_EXTENT_ITEM_KEY y BTRFS_METADATA_ITEM_KEY es 168 y 169, respectivamente). Si 'ret' es 1, simplemente necesitamos agregar un registro al árbol de espacio libre que abarque todo el grupo de bloques. Esto se logra estableciendo 'ret == 0' como condición del bucle while.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: bpf: Corrección del acceso fuera de los límites en el almacenamiento local de cgroup Lonial informó que se puede manipular un acceso fuera de los límites en el almacenamiento local de cgroup mediante llamadas de cola. Dados dos programas, cada uno utilizando un almacenamiento local de cgroup con un tamaño de valor diferente, y un programa realizando una llamada de cola en el otro. El verificador validará cada uno de los programas individuales sin problemas. Sin embargo, en el contexto de tiempo de ejecución, bpf_cg_run_ctx contiene un bpf_prog_array_item que contiene el programa BPF, así como cualquier sabor de almacenamiento local de cgroup que use el programa. Los ayudantes como bpf_get_local_storage() recogen esto del contexto de tiempo de ejecución: ctx = container_of(current->bpf_ctx, struct bpf_cg_run_ctx, run_ctx); storage = ctx->prog_item->cgroup_storage[stype]; if (stype == BPF_CGROUP_STORAGE_SHARED) ptr = &READ_ONCE(storage->buf)->data[0]; else ptr = this_cpu_ptr(storage->percpu_buf); Para el segundo programa llamado desde el programa adjunto original, esto significa que bpf_get_local_storage() tomará el mapa del programa anterior, no el suyo. Con tamaños no coincidentes, esto puede resultar en un acceso fuera de los límites no deseado. Para solucionar este problema, necesitamos extender bpf_map_owner con una matriz de storage_cookie[] para que coincida con i) los mapas exactos del programa original si el segundo programa usaba bpf_get_local_storage(), o ii) permitir la combinación de llamadas de cola si el segundo programa no usaba ninguno de los mapas de almacenamiento local de cgroup.

El complemento Translate This gTranslate Shortcode para WordPress es vulnerable a Cross-Site Scripting almacenado a través del parámetro 'base_lang' en todas las versiones hasta la 1.0 incluida, debido a una depuración de entrada y un escape de salida insuficientes. Esto permite a atacantes autenticados, con acceso de colaborador o superior, inyectar scripts web arbitrarios en las páginas que se ejecutarán al acceder un usuario a una página inyectada.

El complemento Drag and Drop Multiple File Upload for Contact Form 7 para WordPress es vulnerable a Directory traversal en todas las versiones hasta la 1.3.9.0 incluida, a través de la cookie wpcf7_guest_user_id. Esto permite que atacantes no autenticados suban y eliminen archivos fuera del directorio original. El impacto de esta vulnerabilidad es limitado, ya que los tipos de archivo se validan y solo se pueden subir los seguros, mientras que la eliminación se limita a la carpeta de subidas del plugin.

El complemento BetterDocs – Advanced AI-Driven Documentation, FAQ & Knowledge Base Tool for Elementor & Gutenberg with Encyclopedia, AI Support, Instant Answers para Wordpress es vulnerable al acceso no autorizado a los datos debido a la falta de una comprobación de capacidad en la función get_response en todas las versiones hasta la 4.1.1 incluida. Esto permite que atacantes no autenticados obtengan las contraseñas de documentos protegidos por contraseña, así como los metadatos de documentos privados y borradores.

El complemento Taxi Booking Manager para Woocommerce | E-cab para WordPress es vulnerable a la escalada de privilegios mediante el robo de cuenta en todas las versiones hasta la 1.3.0 incluida. Esto se debe a que el complemento no valida correctamente las capacidades del usuario antes de actualizar una configuración, ni su identidad antes de actualizar sus datos, como su dirección de correo electrónico. Esto permite que atacantes no autenticados cambien las direcciones de correo electrónico de usuarios arbitrarios, incluidos los administradores, y aprovechen esta situación para restablecer la contraseña del usuario y acceder a su cuenta.

El complemento Advanced iFrame para WordPress es vulnerable a Cross-Site Scripting almacenado a través del parámetro "additional" en versiones anteriores o iguales a la 2025.6, debido a una depuración de entrada y un escape de salida insuficientes. Esto permite a atacantes autenticados, con acceso de colaborador o superior, inyectar scripts web arbitrarios en las páginas que se ejecutarán al acceder un usuario a una página inyectada.

El complemento User Profile Builder – Beautiful User Registration Forms, User Profiles & User Role Editor para WordPress es vulnerable a Cross-Site Scripting almacenado a través del parámetro 'gdpr_communication_preferences[]' en todas las versiones hasta la 3.14.3 incluida, debido a una depuración de entrada y un escape de salida insuficientes. Esto permite a atacantes autenticados, con acceso de suscriptor o superior, inyectar scripts web arbitrarios en las páginas que se ejecutarán al acceder un usuario a una página inyectada. Esto solo es explotable cuando el módulo "Preferencias de Comunicación del RGPD" está habilitado y se ha añadido al menos un campo de "Preferencias de Comunicación del RGPD" al formulario de edición de perfil.

El complemento Ebook Store para WordPress anterior a la versión 5.8015 no escapa al parámetro $_SERVER['REQUEST_URI'] antes de mostrarlo nuevamente en un atributo, lo que podría generar Cross-Site Scripting reflejado en navegadores web antiguos.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: ksmbd: limita las conexiones repetidas de clientes con la misma IP. Las conexiones repetidas de clientes con la misma dirección IP pueden agotar el límite máximo de conexiones e impedir otras conexiones normales de clientes. Este parche limita las conexiones repetidas de clientes con la misma IP.