Vulnerabilidades

SourceCodester Customer Support System 1.0 contiene una vulnerabilidad de control de acceso incorrecto en ajax.php. El despachador AJAX no impone autenticación o autorización antes de invocar métodos administrativos en admin_class.php basado en el parámetro action. Un atacante remoto no autenticado puede realizar operaciones sensibles como crear clientes y eliminar usuarios (incluida la cuenta de administrador), así como modificar o eliminar otros registros de la aplicación (tickets, departamentos, comentarios), resultando en modificación de datos no autorizada.

Falta de autenticación en múltiples scripts de acción administrativa bajo /admin/ en ProjectWorlds Online Time Table Generator 1.0 permite a atacantes remotos realizar operaciones administrativas no autorizadas (p. ej., añadir registros, eliminar registros) mediante solicitudes HTTP directas a los puntos finales afectados sin una sesión válida.

*** Pendiente de traducción *** Rejected reason: ** REJECT ** DO NOT USE THIS CANDIDATE NUMBER. ConsultIDs: CVE-2025-12500. Reason: This candidate is a reservation duplicate of CVE-2025-12500. Notes: All CVE users should reference CVE-2025-12500 instead of this candidate. All references and descriptions in this candidate have been removed to prevent accidental usage.

*** Pendiente de traducción *** Rejected reason: ** REJECT ** DO NOT USE THIS CANDIDATE NUMBER. ConsultIDs: CVE-2025-12500. Reason: This candidate is a reservation duplicate of CVE-2025-12500. Notes: All CVE users should reference CVE-2025-12500 instead of this candidate. All references and descriptions in this candidate have been removed to prevent accidental usage.

*** Pendiente de traducción *** Rejected reason: ** REJECT ** DO NOT USE THIS CANDIDATE NUMBER. Reason: This candidate was issued in error. Notes: All references and descriptions in this candidate have been removed to prevent accidental usage.

Se ha resuelto la siguiente vulnerabilidad en el kernel de Linux:<br /> <br /> xfs: se corrige UAF en xchk_btree_check_block_owner<br /> <br /> No podemos desreferenciar bs-&amp;gt;cur al intentar determinar si bs-&amp;gt;cur es un alias de bs-&amp;gt;sc-&amp;gt;sa.{bno,rmap}_cur después de que este último haya sido liberado. Esto se soluciona muestreando el tipo antes de que pudiera ocurrir cualquier liberación. El orden temporal correcto se rompió cuando eliminamos xfs_btnum_t.

Se ha resuelto la siguiente vulnerabilidad en el kernel de Linux:<br /> <br /> erofs: soluciona un problema de UAF para montajes respaldados por archivos con la opción &amp;#39;directio&amp;#39;<br /> <br /> [ 9.269940][ T3222] Rastreo de llamadas:<br /> [ 9.269948][ T3222] ext4_file_read_iter+0xac/0x108<br /> [ 9.269979][ T3222] vfs_iocb_iter_read+0xac/0x198<br /> [ 9.269993][ T3222] erofs_fileio_rq_submit+0x12c/0x180<br /> [ 9.270008][ T3222] erofs_fileio_submit_bio+0x14/0x24<br /> [ 9.270030][ T3222] z_erofs_runqueue+0x834/0x8ac<br /> [ 9.270054][ T3222] z_erofs_read_folio+0x120/0x220<br /> [ 9.270083][ T3222] filemap_read_folio+0x60/0x120<br /> [ 9.270102][ T3222] filemap_fault+0xcac/0x1060<br /> [ 9.270119][ T3222] do_pte_missing+0x2d8/0x1554<br /> [ 9.270131][ T3222] handle_mm_fault+0x5ec/0x70c<br /> [ 9.270142][ T3222] do_page_fault+0x178/0x88c<br /> [ 9.270167][ T3222] do_translation_fault+0x38/0x54<br /> [ 9.270183][ T3222] do_mem_abort+0x54/0xac<br /> [ 9.270208][ T3222] el0_da+0x44/0x7c<br /> [ 9.270227][ T3222] el0t_64_sync_handler+0x5c/0xf4<br /> [ 9.270253][ T3222] el0t_64_sync+0x1bc/0x1c0<br /> <br /> EROFS puede encontrar el pánico anterior al habilitar el montaje respaldado por archivos con la opción de montaje directio; la causa raíz es que puede sufrir UAF en la siguiente condición de carrera:<br /> <br /> - z_erofs_read_folio wq s_dio_done_wq<br /> - z_erofs_runqueue<br /> - erofs_fileio_submit_bio<br /> - erofs_fileio_rq_submit<br /> - vfs_iocb_iter_read<br /> - ext4_file_read_iter<br /> - ext4_dio_read_iter<br /> - iomap_dio_rw<br /> : bio fue enviado y devuelve -EIOCBQUEUED<br /> - dio_aio_complete_work<br /> - dio_complete<br /> - dio-&amp;gt;iocb-&amp;gt;ki_complete (erofs_fileio_ki_complete())<br /> - kfree(rq)<br /> : libera iocb, iocb.ki_filp puede ser UAF en file_accessed().<br /> - file_accessed<br /> : accede a un puntero de archivo NULL<br /> <br /> Introducir un contador de referencias en la estructura erofs_fileio_rq, y lo inicializa a dos; tanto erofs_fileio_ki_complete() como erofs_fileio_rq_submit() disminuirán el contador de referencias, el último en disminuir el contador de referencias a cero liberará rq.

Se ha resuelto la siguiente vulnerabilidad en el kernel de Linux:<br /> <br /> sched/mmcid: No asumir que el CID es propiedad de la CPU en el cambio de modo<br /> <br /> Shinichiro informó de un KASAN UAF, que en realidad es un acceso fuera de límites en el código de gestión de MMCID.<br /> <br /> CPU0 CPU1<br /> T1 se ejecuta en espacio de usuario<br /> T0: fork(T4) -&amp;gt; Cambio a modo CID por CPU<br /> fixup() establece MM_CID_TRANSIT en T1/CPU1<br /> T4 sale()<br /> T3 sale()<br /> T2 sale()<br /> T1 sale() cambia a modo por tarea<br /> ---&amp;gt; Acceso fuera de límites.<br /> <br /> Como T1 no se ha planificado después de que T0 estableciera el bit TRANSIT, sale con el bit TRANSIT establecido. sched_mm_cid_remove_user() borra el bit TRANSIT en la tarea y elimina el CID, pero no toca el almacenamiento por CPU. Eso es el funcionalmente correcto porque un CID solo es propiedad de la CPU cuando el bit ONCPU está establecido, lo cual es mutuamente excluyente con el indicador TRANSIT.<br /> <br /> Ahora sched_mm_cid_exit() asume que el CID es propiedad de la CPU porque el modo anterior era por CPU. Invoca mm_drop_cid_on_cpu() que borra el bit ONCPU no establecido y luego invoca clear_bit() con un número de bit increíblemente grande porque TRANSIT está establecido (bit 29).<br /> <br /> Evitar eso validando realmente que el CID es propiedad de la CPU en mm_drop_cid_on_cpu().

Se ha resuelto la siguiente vulnerabilidad en el kernel de Linux:<br /> <br /> ksmbd: añadir chann_lock para proteger ksmbd_chann_list xarray<br /> <br /> ksmbd_chann_list xarray carece de sincronización, permitiendo uso después de liberación en sesiones multicanal (entre lookup_chann_list() y ksmbd_chann_del).<br /> <br /> Añade el semáforo rw_semaphore chann_lock a la estructura ksmbd_session y protege todos los accesos xa_load/xa_store/xa_erase.

Se ha resuelto la siguiente vulnerabilidad en el kernel de Linux:<br /> <br /> drm/exynos: vidi: usar ctx-&amp;gt;lock para proteger las variables miembro de la estructura vidi_context relacionadas con la asignación/liberación de memoria<br /> <br /> El controlador de pantalla virtual de Exynos realiza operaciones de asignación/liberación de memoria sin protección de bloqueo, lo que fácilmente causa un problema de concurrencia.<br /> <br /> Por ejemplo, el uso después de liberación puede ocurrir en un escenario de carrera como este:<br /> ```<br /> CPU0 CPU1 CPU2<br /> ---- ---- ----<br /> vidi_connection_ioctl()<br /> if (vidi-&amp;gt;connection) // true<br /> drm_edid = drm_edid_alloc(); // alloc drm_edid<br /> ...<br /> ctx-&amp;gt;raw_edid = drm_edid;<br /> ...<br /> drm_mode_getconnector()<br /> drm_helper_probe_single_connector_modes()<br /> vidi_get_modes()<br /> if (ctx-&amp;gt;raw_edid) // true<br /> drm_edid_dup(ctx-&amp;gt;raw_edid);<br /> if (!drm_edid) // false<br /> ...<br /> vidi_connection_ioctl()<br /> if (vidi-&amp;gt;connection) // false<br /> drm_edid_free(ctx-&amp;gt;raw_edid); // free drm_edid<br /> ...<br /> drm_edid_alloc(drm_edid-&amp;gt;edid)<br /> kmemdup(edid); // UAF!!<br /> ...<br /> ```<br /> <br /> Para prevenir estas vulnerabilidades, al menos en vidi_context, las variables miembro relacionadas con la asignación/liberación de memoria deberían ser protegidas con ctx-&amp;gt;lock.

Se ha resuelto la siguiente vulnerabilidad en el kernel de Linux:<br /> <br /> smb: servidor: corregir fuga de active_num_conn en ksmbd_tcp_new_connection()<br /> <br /> En caso de fallo de kthread_run() en ksmbd_tcp_new_connection(), se libera el transporte a través de free_transport(), lo que no decrementa active_num_conn, fugando este contador.<br /> <br /> Reemplazar free_transport() con ksmbd_tcp_disconnect().

Se ha resuelto la siguiente vulnerabilidad en el kernel de Linux: <br /> <br /> crypto: virtio - Añadir protección con spinlock con notificación de virtqueue<br /> <br /> Cuando una VM arranca con un dispositivo PCI virtio-crypto y un backend integrado,<br /> ejecutar el comando de benchmark de OpenSSL con múltiples procesos, como<br /> openssl speed -evp aes-128-cbc -engine afalg -seconds 10 -multi 32<br /> <br /> los procesos de OpenSSL se colgarán y se reporta un error como este:<br /> virtio_crypto virtio0: dataq.0:id 3 is not a head!<br /> <br /> Parece que el virtqueue de datos necesita protección cuando se maneja<br /> para la notificación de finalización de virtio. Si se añade la protección con spinlock<br /> en virtcrypto_done_task(), el benchmark de OpenSSL con múltiples procesos<br /> funciona correctamente.