Vulnerabilidades

Existe una vulnerabilidad en las versiones de Absolute Persistence® anteriores a la 2.8 cuando no está activada. Esto podría permitir que un atacante experto con acceso físico al dispositivo y control total de la red hostil inicie comandos del sistema operativo en el dispositivo. Para solucionar esta vulnerabilidad, actualice el firmware del dispositivo a la última versión disponible. Para obtener instrucciones de actualización, póngase en contacto con el fabricante del dispositivo o con Absolute Security (consulte la referencia a continuación).

Actualizer es una solución de script de shell único que permite a desarrolladores e ingenieros de sistemas integrados crear sistemas operativos Debian (SO). Antes de la versión 1.2.0, Actualizer utilizaba la función "-passwd" de OpenSSL, que utiliza SHA512 en lugar de un hash de contraseñas más adecuado como Yescript/Argon2i. Todos los usuarios de Actualizer que creen un sistema operativo Debian completo se ven afectados. Los usuarios deben actualizar a la versión 1.2.0 de Actualizer. La implementación actual del SO requiere cambios manuales de contraseñas para las cuentas alfa y root. El cambio implementará el yescript de Debian, anulando el hash SHA512 anterior creado por OpenSSL. Como workaround, los usuarios deben restablecer las contraseñas de los usuarios `root` y `Alpha`.

Flask es un framework de aplicaciones web con interfaz de puerta de enlace de servidor web (WSGI). En Flask 3.1.0, la configuración de la clave de reserva hacía que se usara la última clave de reserva para firmar, en lugar de la clave de firma actual. La librería `itsdangerous` proporciona la firma. Se puede pasar una lista de claves, y Flask espera que la última clave (la superior) sea la más reciente, utilizándola para firmar. Sin embargo, Flask construía incorrectamente esa lista a la inversa, pasando primero la clave de firma. Es probable que los sitios que hayan optado por la rotación de claves mediante `SECRET_KEY_FALLBACKS` firmen inesperadamente sus sesiones con claves obsoletas, lo que dificultará la transición a claves más recientes. Las sesiones siguen firmadas, por lo que esto no causaría ninguna pérdida de integridad de los datos. La versión 3.1.1 incluye un parche para este problema.

Una omisión de autenticación en el componente API de Ivanti Endpoint Manager Mobile 12.5.0.0 y anteriores permite a los atacantes acceder a recursos protegidos sin las credenciales adecuadas a través de la API.

La ejecución remota de código en el componente API de Ivanti Endpoint Manager Mobile 12.5.0.0 y anteriores en plataformas no especificadas permite a atacantes autenticados ejecutar código arbitrario a través de solicitudes API manipuladas.

nosurf es un middleware de protección contra cross-site request forgery (CSRF) para Go. Una vulnerabilidad en versiones anteriores a la 1.2.0 permite a un atacante que controla el contenido del sitio web objetivo o de un subdominio del mismo (ya sea mediante XSS o de otro modo) eludir las comprobaciones CSRF y emitir solicitudes en nombre del usuario. Debido al uso indebido de la librería `net/http` de Go, nosurf categoriza todas las solicitudes entrantes como solicitudes HTTP de texto plano, en cuyo caso no se comprueba que el encabezado `Referer` tenga el mismo origen que la página web objetivo. Si el atacante controla el contenido HTML del sitio web objetivo (p. ej., `example.com`) o de un sitio web alojado en un subdominio del sitio objetivo (p. ej., `attacker.example.com`), también podrá manipular las cookies configuradas para el sitio web objetivo. Al obtener el token CSRF secreto de la cookie o sobrescribirla con un nuevo token conocido por el atacante, `attacker.example.com` puede generar solicitudes entre sitios a `example.com`. Se publicó una corrección para este problema en nosurf 1.2.0. En lugar de actualizar a una versión parcheada de nosurf, los usuarios pueden usar otro middleware HTTP para garantizar que una solicitud HTTP no segura provenga del mismo origen (por ejemplo, al requerir un encabezado `Sec-Fetch-Site: same-origin` en la solicitud).

Se descubrió un problema en post.php en bootstrap-multiselect (también conocido como Bootstrap Multiselect) 1.1.2. Un script PHP en el código fuente reproduce datos POST arbitrarios. Si un desarrollador adopta esta estructura de forma generalizada en una aplicación en vivo, podría generar una vulnerabilidad de Cross-Site Scripting (XSS) reflejado, explotable mediante Cross-Site Request Forgery (CSRF).

Kirby es un sistema de gestión de contenido de código abierto. Una vulnerabilidad en versiones anteriores a 3.9.8.3, 3.10.1.2 y 4.7.1 afecta a todos los sitios de Kirby que usan el asistente `collection()` o el método `$kirby->collection()` con un nombre de colección dinámico (como un nombre de colección que depende de la solicitud o los datos del usuario). Los sitios que solo usan llamadas fijas al asistente `collection()`/método `$kirby->collection()` (es decir, llamadas con una cadena simple para el nombre de la colección) *no* se ven afectados. La falta de una comprobación de path traversal permitió a los atacantes navegar y acceder a todos los archivos en el servidor a los que tenía acceso el proceso PHP, incluyendo archivos fuera del root de las colecciones o incluso fuera de la instalación de Kirby. Se ejecutó el código PHP dentro de dichos archivos. Dichos ataques primero requieren un vector de ataque en el código del sitio que es causado por nombres de colecciones dinámicos, como `collection('tags-' . get('tags'))`. Generalmente, también requiere que el atacante conozca la estructura del sitio y el sistema de archivos del servidor, aunque es posible encontrar configuraciones vulnerables mediante métodos automatizados como el fuzzing. En una configuración vulnerable, esto podría dañar la confidencialidad e integridad del servidor. El problema se ha corregido en Kirby 3.9.8.3, Kirby 3.10.1.2 y Kirby 4.7.1. En todas las versiones mencionadas, los desarrolladores de Kirby han añadido una comprobación de la ruta de la colección que garantiza que la ruta resultante esté dentro del root de las colecciones configurada. Las rutas de colección que apunten fuera del root de las colecciones no se cargarán.

Se descubrió que EDIMAX CV7428NS v1.20 contiene una vulnerabilidad de ejecución remota de código (RCE) a través del parámetro de comando en la función mp.

Se descubrió que TOTOLINK A3002R v4.0.0-B20230531.1404 contiene una vulnerabilidad de inyección de comandos a través de la función FUN_00459fdc.

La reconstrucción de v3.9.0 a v3.9.3 tiene una vulnerabilidad de inyección SQL en el componente /admin/admin-cli/exec.

Kirby es un sistema de gestión de contenido de código abierto. Una vulnerabilidad en versiones anteriores a 3.9.8.3, 3.10.1.2 y 4.7.1 afecta a todas las configuraciones de Kirby que utilizan el servidor integrado de PHP. Estas configuraciones suelen utilizarse solo durante el desarrollo local. Los sitios que utilizan otro software de servidor (como Apache, nginx o Caddy) no se ven afectados. La falta de una comprobación de path traversal permitió a los atacantes navegar por todos los archivos del servidor accesibles para el proceso PHP, incluidos los archivos fuera de la instalación de Kirby. La implementación vulnerable delegó todos los archivos existentes a PHP, incluidos los existentes fuera del root del documento. Esto genera una respuesta diferente que permite a los atacantes determinar si el archivo solicitado existe. Dado que el enrutador de Kirby solo delega dichas solicitudes a PHP y no las carga ni las ejecuta, el contenido de los archivos no se expuso, ya que PHP trata las solicitudes a archivos fuera del root del documento como no válidas. El problema se ha corregido en Kirby 3.9.8.3, Kirby 3.10.1.2 y Kirby 4.7.1. En todas las versiones mencionadas, los mantenedores de Kirby han actualizado el enrutador para comprobar si los archivos estáticos existentes se encuentran en el root del documento. Las solicitudes a archivos fuera del root del documento se tratan como solicitudes de página de la página de error y ya no permiten determinar si el archivo existe o no.