Vulnerabilidades

El plugin WP Social Meta para WordPress es vulnerable a cross-site scripting almacenado a través de la configuración de administrador en todas las versiones hasta la 1.0.1, inclusive, debido a una sanitización de entrada y un escape de salida insuficientes. Esto hace posible que atacantes autenticados, con permisos de nivel de administrador y superiores, inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada. Esto solo afecta a las instalaciones multisitio y a las instalaciones donde se ha deshabilitado unfiltered_html.

El plugin Custom Logo para WordPress es vulnerable a cross-site scripting almacenado a través de la configuración de administrador en todas las versiones hasta la 2.2, inclusive, debido a una sanitización de entrada y un escape de salida insuficientes. Esto permite a atacantes autenticados, con permisos de nivel de administrador y superiores, inyectar scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada. Esto solo afecta a las instalaciones multisitio y a las instalaciones donde se ha deshabilitado unfiltered_html.

El plugin EM Cost Calculator para WordPress es vulnerable a cross-site scripting almacenado en versiones hasta la 2.3.1, inclusive. Esto se debe a que el plugin almacena datos 'customer_name' controlados por el atacante y los renderiza en la lista de clientes del administrador sin escape de salida. Esto permite que atacantes no autenticados inyecten scripts web arbitrarios que se ejecutan cuando un administrador ve la página de Clientes de EMCC.

Vitess es un sistema de clustering de bases de datos para el escalado horizontal de MySQL. Antes de las versiones 23.0.3 y 22.0.4, cualquier persona con acceso de lectura/escritura a la ubicación de almacenamiento de copias de seguridad (por ejemplo, un bucket de S3) puede manipular los archivos de manifiesto de copia de seguridad para que los archivos en el manifiesto — que pueden ser archivos que también hayan añadido al manifiesto y al contenido de la copia de seguridad — se escriban en cualquier ubicación accesible al restaurar. Este es un problema de seguridad común de salto de ruta. Esto puede usarse para proporcionar a ese atacante acceso no intencionado/no autorizado al entorno de despliegue de producción — permitiéndoles acceder a la información disponible en ese entorno, así como ejecutar cualquier comando arbitrario adicional allí. Las versiones 23.0.3 y 22.0.4 contienen un parche. No se conocen soluciones alternativas disponibles.

Angular es una plataforma de desarrollo para construir aplicaciones web móviles y de escritorio usando TypeScript/JavaScript y otros lenguajes. Versiones anteriores a 21.2.0, 21.1.16, 20.3.17 y 19.2.19 tienen una vulnerabilidad de cross-site scripting en la tubería de internacionalización (i18n) de Angular. En los mensajes ICU (International Components for Unicode), el HTML del contenido traducido no se sanitizaba correctamente y podía ejecutar JavaScript arbitrario. La i18n de Angular típicamente involucra tres pasos: extraer todos los mensajes de una aplicación en el lenguaje fuente, enviar los mensajes para ser traducidos y luego fusionar sus traducciones de vuelta al código fuente final. Las traducciones son frecuentemente manejadas por contratos con compañías asociadas específicas, e involucran el envío de los mensajes fuente a un contratista separado antes de recibir las traducciones finales para su visualización al usuario final. Si las traducciones devueltas tienen contenido malicioso, este podría ser renderizado en la aplicación y ejecutar JavaScript arbitrario. Cuando se explota con éxito, esta vulnerabilidad permite la ejecución de JavaScript controlado por el atacante en el origen de la aplicación. Dependiendo de la naturaleza de la aplicación explotada, esto podría llevar a la exfiltración de credenciales y/o vandalismo de página. Varias precondiciones se aplican al ataque. El atacante debe comprometer el archivo de traducción (xliff, xtb, etc.). A diferencia de la mayoría de las vulnerabilidades XSS, este problema no es explotable por usuarios arbitrarios. Un atacante debe primero comprometer el archivo de traducción de una aplicación antes de que pueda escalar privilegios en el cliente de la aplicación Angular. La aplicación víctima debe usar Angular i18n, usar uno o más mensajes ICU, renderizar un mensaje ICU y no defenderse contra XSS a través de una política de seguridad de contenido segura. Las versiones 21.2.0, 21.1.6, 20.3.17 y 19.2.19 parchean el problema. Hasta que se aplique el parche, los desarrolladores deberían considerar revisar y verificar el contenido traducido recibido de terceros no confiables antes de incorporarlo en una aplicación Angular, habilitar controles CSP estrictos para bloquear la ejecución de JavaScript no autorizado en la página y habilitar Trusted Types para forzar una sanitización HTML adecuada.

El plugin Livemesh Addons for Beaver Builder para WordPress es vulnerable a Cross-Site Scripting Almacenado a través de los atributos 'title' y 'value' del shortcode '[labb_pricing_item]' en todas las versiones hasta la 3.9.2, inclusive, debido a una sanitización de entrada insuficiente y un escape de salida inadecuado. Específicamente, el plugin utiliza 'htmlspecialchars_decode()' después de 'wp_kses_post()', lo que decodifica las entidades HTML de nuevo a código ejecutable después de que se ha producido la sanitización. Esto hace posible que atacantes autenticados, con acceso de nivel Colaborador o superior, inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.

El plugin TP2WP Importer para WordPress es vulnerable a cross-site scripting almacenado a través del área de texto 'Watched domains' en la página de configuración del importador de adjuntos en todas las versiones hasta la 1.1, inclusive. Esto se debe a una sanitización de entrada y un escape de salida insuficientes cuando los dominios se guardan a través de AJAX y se renderizan con echo implode() sin esc_textarea(). Esto hace posible que atacantes autenticados, con acceso de nivel de Administrador y superior, inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a la página de configuración del importador de adjuntos.

Audiobookshelf es un servidor de audiolibros y podcasts autoalojado. Existe una vulnerabilidad de cross-site scripting (XSS) almacenado en versiones anteriores a la 0.12.0-beta de la aplicación móvil Audiobookshelf que permite la ejecución arbitraria de JavaScript a través de metadatos de biblioteca maliciosos. Atacantes con privilegios de modificación de biblioteca pueden ejecutar código en los navegadores/WebViews de los usuarios víctimas, lo que podría llevar al secuestro de sesión, la exfiltración de datos y el acceso no autorizado a las API de dispositivos nativos. El problema está solucionado en la versión 0.12.0-beta de audiobookshelf-app, correspondiente a la versión 2.12.0 de audiobookshelf.

*** Pendiente de traducción *** Live Helper Chat is an open-source application that enables live support websites. In versions up to and including 4.52, three chat action endpoints (holdaction.php, blockuser.php, and transferchat.php) load chat objects by ID without calling `erLhcoreClassChat::hasAccessToRead()`, allowing operators to act on chats in departments they are not assigned to. Operators with the relevant role permissions (holduse, allowblockusers, allowtransfer) can hold, block users from, or transfer chats in departments they are not assigned to. This is a horizontal privilege escalation within one organization. As of time of publication, no known patched versions are available.

*** Pendiente de traducción *** Koa is middleware for Node.js using ES2017 async functions. Prior to versions 3.1.2 and 2.16.4, Koa's `ctx.hostname` API performs naive parsing of the HTTP Host header, extracting everything before the first colon without validating the input conforms to RFC 3986 hostname syntax. When a malformed Host header containing a `@` symbol is received, `ctx.hostname` returns `evil[.]com` - an attacker-controlled value. Applications using `ctx.hostname` for URL generation, password reset links, email verification URLs, or routing decisions are vulnerable to Host header injection attacks. Versions 3.1.2 and 2.16.4 fix the issue.

*** Pendiente de traducción *** Agenta is an open-source LLMOps platform. A Server-Side Template Injection (SSTI) vulnerability exists in versions prior to 0.86.8 in Agenta's API server evaluator template rendering. Although the vulnerable code lives in the SDK package, it is executed server-side within the API process when running evaluators. This does not affect standalone SDK usage — it only impacts self-hosted or managed Agenta platform deployments. Version 0.86.8 contains a fix for the issue.

*** Pendiente de traducción *** Vitess is a database clustering system for horizontal scaling of MySQL. Prior to versions 23.0.3 and 22.0.4, anyone with read/write access to the backup storage location (e.g. an S3 bucket) can manipulate backup manifest files so that arbitrary code is later executed when that backup is restored. This can be used to provide that attacker with unintended/unauthorized access to the production deployment environment — allowing them to access information available in that environment as well as run any additional arbitrary commands there. Versions 23.0.3 and 22.0.4 contain a patch. Some workarounds are available. Those who intended to use an external decompressor then can always specify that decompressor command in the `--external-decompressor` flag value for `vttablet` and `vtbackup`. That then overrides any value specified in the manifest file. Those who did not intend to use an external decompressor, nor an internal one, can specify a value such as `cat` or `tee` in the `--external-decompressor` flag value for `vttablet` and `vtbackup` to ensure that a harmless command is always used.