Vulnerabilidades

nosurf es un middleware de protección contra cross-site request forgery (CSRF) para Go. Una vulnerabilidad en versiones anteriores a la 1.2.0 permite a un atacante que controla el contenido del sitio web objetivo o de un subdominio del mismo (ya sea mediante XSS o de otro modo) eludir las comprobaciones CSRF y emitir solicitudes en nombre del usuario. Debido al uso indebido de la librería `net/http` de Go, nosurf categoriza todas las solicitudes entrantes como solicitudes HTTP de texto plano, en cuyo caso no se comprueba que el encabezado `Referer` tenga el mismo origen que la página web objetivo. Si el atacante controla el contenido HTML del sitio web objetivo (p. ej., `example.com`) o de un sitio web alojado en un subdominio del sitio objetivo (p. ej., `attacker.example.com`), también podrá manipular las cookies configuradas para el sitio web objetivo. Al obtener el token CSRF secreto de la cookie o sobrescribirla con un nuevo token conocido por el atacante, `attacker.example.com` puede generar solicitudes entre sitios a `example.com`. Se publicó una corrección para este problema en nosurf 1.2.0. En lugar de actualizar a una versión parcheada de nosurf, los usuarios pueden usar otro middleware HTTP para garantizar que una solicitud HTTP no segura provenga del mismo origen (por ejemplo, al requerir un encabezado `Sec-Fetch-Site: same-origin` en la solicitud).

Se descubrió un problema en post.php en bootstrap-multiselect (también conocido como Bootstrap Multiselect) 1.1.2. Un script PHP en el código fuente reproduce datos POST arbitrarios. Si un desarrollador adopta esta estructura de forma generalizada en una aplicación en vivo, podría generar una vulnerabilidad de Cross-Site Scripting (XSS) reflejado, explotable mediante Cross-Site Request Forgery (CSRF).

Kirby es un sistema de gestión de contenido de código abierto. Una vulnerabilidad en versiones anteriores a 3.9.8.3, 3.10.1.2 y 4.7.1 afecta a todos los sitios de Kirby que usan el asistente `collection()` o el método `$kirby->collection()` con un nombre de colección dinámico (como un nombre de colección que depende de la solicitud o los datos del usuario). Los sitios que solo usan llamadas fijas al asistente `collection()`/método `$kirby->collection()` (es decir, llamadas con una cadena simple para el nombre de la colección) *no* se ven afectados. La falta de una comprobación de path traversal permitió a los atacantes navegar y acceder a todos los archivos en el servidor a los que tenía acceso el proceso PHP, incluyendo archivos fuera del root de las colecciones o incluso fuera de la instalación de Kirby. Se ejecutó el código PHP dentro de dichos archivos. Dichos ataques primero requieren un vector de ataque en el código del sitio que es causado por nombres de colecciones dinámicos, como `collection('tags-' . get('tags'))`. Generalmente, también requiere que el atacante conozca la estructura del sitio y el sistema de archivos del servidor, aunque es posible encontrar configuraciones vulnerables mediante métodos automatizados como el fuzzing. En una configuración vulnerable, esto podría dañar la confidencialidad e integridad del servidor. El problema se ha corregido en Kirby 3.9.8.3, Kirby 3.10.1.2 y Kirby 4.7.1. En todas las versiones mencionadas, los desarrolladores de Kirby han añadido una comprobación de la ruta de la colección que garantiza que la ruta resultante esté dentro del root de las colecciones configurada. Las rutas de colección que apunten fuera del root de las colecciones no se cargarán.

Se descubrió que EDIMAX CV7428NS v1.20 contiene una vulnerabilidad de ejecución remota de código (RCE) a través del parámetro de comando en la función mp.

Se descubrió que TOTOLINK A3002R v4.0.0-B20230531.1404 contiene una vulnerabilidad de inyección de comandos a través de la función FUN_00459fdc.

La reconstrucción de v3.9.0 a v3.9.3 tiene una vulnerabilidad de inyección SQL en el componente /admin/admin-cli/exec.

Kirby es un sistema de gestión de contenido de código abierto. Una vulnerabilidad en versiones anteriores a 3.9.8.3, 3.10.1.2 y 4.7.1 afecta a todas las configuraciones de Kirby que utilizan el servidor integrado de PHP. Estas configuraciones suelen utilizarse solo durante el desarrollo local. Los sitios que utilizan otro software de servidor (como Apache, nginx o Caddy) no se ven afectados. La falta de una comprobación de path traversal permitió a los atacantes navegar por todos los archivos del servidor accesibles para el proceso PHP, incluidos los archivos fuera de la instalación de Kirby. La implementación vulnerable delegó todos los archivos existentes a PHP, incluidos los existentes fuera del root del documento. Esto genera una respuesta diferente que permite a los atacantes determinar si el archivo solicitado existe. Dado que el enrutador de Kirby solo delega dichas solicitudes a PHP y no las carga ni las ejecuta, el contenido de los archivos no se expuso, ya que PHP trata las solicitudes a archivos fuera del root del documento como no válidas. El problema se ha corregido en Kirby 3.9.8.3, Kirby 3.10.1.2 y Kirby 4.7.1. En todas las versiones mencionadas, los mantenedores de Kirby han actualizado el enrutador para comprobar si los archivos estáticos existentes se encuentran en el root del documento. Las solicitudes a archivos fuera del root del documento se tratan como solicitudes de página de la página de error y ya no permiten determinar si el archivo existe o no.

Una omisión de autenticación en Ivanti Neurons para ITSM (solo local) anterior a 2023.4, 2024.2 y 2024.3 con el parche de seguridad de mayo de 2025 permite que un atacante remoto no autenticado obtenga acceso administrativo al sistema.

bother-gal-web v7.1.0 /api/music/v1/cover.ts contiene una vulnerabilidad de lectura de archivos arbitrarios

Se descubrió un problema en OXID eShop anterior a la versión 7. Las páginas CMS en combinación con Smarty pueden mostrar información del usuario si una página CMS contiene un error de sintaxis de Smarty.

NetAlertX 24.7.18 anterior a 24.10.12 permite la lectura de archivos no autenticados porque un cliente HTTP puede ignorar una redirección y debido a factores relacionados con strpos y el directory traversal, como se explotó en la naturaleza en mayo de 2025. Esto está relacionado con components/logs.php.

NetAlertX 23.01.14 a 24.x antes de 24.10.12 permite la inyección de comandos no autenticados a través de la actualización de la configuración porque function=savesettings carece de un requisito de autenticación, como se explotó en la naturaleza en mayo de 2025. Esto está relacionado con settings.php y util.php.