Vulnerabilidades

Para obtener un breve resumen de la terminología de Xapi, consulte: https://xapi-project.github.io/xen-api/overview.html#object-model-overview Xapi contiene funcionalidad para realizar copias de seguridad y restaurar metadatos sobre máquinas virtuales y repositorios de almacenamiento (SR). Los metadatos en sí se almacenan en una imagen de disco virtual (VDI) dentro de un SR. Esto se utiliza para dos propósitos: una copia de seguridad general de metadatos (por ejemplo, para recuperarse de una falla del host si el archivador aún está en buen estado) y SR portátiles (por ejemplo, usar un disco duro externo para mover máquinas virtuales a otro host). Los metadatos solo se restauran como una acción explícita del administrador, pero ocurre en los casos en que el host no tiene información sobre el SR y debe ubicar el VDI de metadatos para recuperar los metadatos. El VDI de metadatos se ubica buscando (en orden alfanumérico UUID) cada VDI, montándolo y viendo si hay un archivo de metadatos adecuado presente. El primer VDI coincidente se considera el VDI de metadatos y se restaura desde él. En general, el propietario de la máquina virtual controla el contenido de las VDI y el administrador del host no debería confiar en ellas. Un invitado malintencionado puede manipular su disco para que parezca una copia de seguridad de metadatos. Un invitado no puede elegir los UUID de sus VDI, pero un invitado con un disco tiene un 50 % de posibilidades de clasificarse antes que la copia de seguridad de metadatos legítima. Un invitado con dos discos tiene un 75 % de posibilidades, etc.

La predicción del objetivo de la rama de retorno del canal alternativo no protegido en algunos procesadores Intel® puede permitir que un usuario autorizado habilite potencialmente la divulgación de información a través del acceso local.

La generación de un vector de inicialización débil en una librería de software de criptografía Intel(R) IPP anterior a la versión 2021.5 puede permitir que un usuario no autenticado habilite potencialmente la divulgación de información a través del acceso local.

Label Studio es una herramienta de etiquetado de datos de código abierto. Antes de la versión 1.16.0, el punto de conexión `/projects/upload-example` de Label Studio permite la inyección de HTML arbitrario a través de una solicitud `GET` con un parámetro de consulta `label_config` manipulado de forma adecuada. Al manipular una configuración de etiqueta XML con un formato especial con datos de tareas en línea que contienen HTML/JavaScript malicioso, un atacante puede lograr Cross-Site Scripting (XSS). Si bien la aplicación tiene una Política de seguridad de contenido (CSP), solo está configurada en modo de solo informes, lo que la hace ineficaz para evitar la ejecución de scripts. La vulnerabilidad existe porque el punto de conexión upload-example muestra contenido HTML proporcionado por el usuario sin la depuración adecuada en una solicitud GET. Esto permite a los atacantes inyectar y ejecutar JavaScript arbitrario en los navegadores de las víctimas al hacer que visiten una URL manipulada de forma maliciosa. Esto se considera vulnerable porque permite a los atacantes ejecutar JavaScript en los contextos de las víctimas, lo que potencialmente permite el robo de datos confidenciales, el secuestro de sesiones u otras acciones maliciosas. La versión 1.16.0 contiene un parche para el problema.

Label Studio es una herramienta de etiquetado de datos de código abierto. Antes de la versión 1.16.0, la función de integración de almacenamiento S3 de Label Studio contiene una vulnerabilidad de Server-Side Request Forgery (SSRF) en su configuración de endpoint. Al crear una conexión de almacenamiento S3, la aplicación permite a los usuarios especificar una URL de endpoint S3 personalizada a través del parámetro s3_endpoint. Esta URL de endpoint se pasa directamente al SDK de AWS de boto3 sin la validación adecuada ni restricciones en el protocolo o el destino. La vulnerabilidad permite a un atacante hacer que la aplicación envíe solicitudes HTTP a servicios internos arbitrarios al especificarlos como el endpoint S3. Cuando se activa la operación de sincronización de almacenamiento, la aplicación intenta realizar llamadas a la API S3 al endpoint especificado, lo que efectivamente realiza solicitudes HTTP al servicio de destino y devuelve la respuesta en mensajes de error. Esta vulnerabilidad SSRF permite a los atacantes eludir la segmentación de la red y acceder a servicios internos que no deberían ser accesibles desde la red externa. La vulnerabilidad es particularmente grave porque los mensajes de error de las solicitudes fallidas contienen el cuerpo completo de la respuesta, lo que permite la exfiltración de datos de los servicios internos. La versión 1.16.0 contiene un parche para el problema.

Vega es una gramática de visualización, un formato declarativo para crear, guardar y compartir diseños de visualización interactivos. Antes de la versión 5.26.0 de vega y 5.4.2 de vega-selections, la función `vlSelectionTuples` se puede utilizar para llamar a funciones de JavaScript, lo que conduce a Cross Site Scripting. `vlSelectionTuples` llama a múltiples funciones que pueden ser controladas por un atacante, incluida una llamada con un argumento controlado por el atacante. Esto se puede utilizar para llamar a `Function()` con JavaScript arbitrario y la función resultante se puede llamar con `vlSelectionTuples` o utilizando una coerción de tipo para llamar a `toString` o `valueOf`. La versión 5.26.0 de vega y 5.4.2 de vega-selections solucionan este problema.

@octokit/request-error es una clase de error para los errores de solicitud de Octokit. A partir de la versión 1.0.0 y antes de la versión 6.1.7, existe una vulnerabilidad de denegación de servicio de expresión regular (ReDoS) en el procesamiento de encabezados de solicitud HTTP. Al enviar un encabezado de autorización que contiene una secuencia excesivamente larga de espacios seguidos de una nueva línea y "@", un atacante puede explotar un procesamiento ineficiente de expresiones regulares, lo que lleva a un consumo excesivo de recursos. Esto puede degradar significativamente el rendimiento del servidor o causar una condición de denegación de servicio (DoS), lo que afecta la disponibilidad. La versión 6.1.7 contiene una solución para el problema.

@octokit/request envía solicitudes parametrizadas a las API de GitHub con valores predeterminados razonables en los navegadores y Node. A partir de la versión 1.0.0 y antes de la versión 9.2.1, la expresión regular `/<([^>]+)>; rel="deprecation"/` utilizada para hacer coincidir el encabezado `link` en las respuestas HTTP es vulnerable a un ataque ReDoS (denegación de servicio de expresión regular). Esta vulnerabilidad surge debido a la naturaleza ilimitada del comportamiento de coincidencia de la expresión regular, que puede provocar un retroceso catastrófico al procesar una entrada especialmente manipulada. Un atacante podría explotar esta falla enviando un encabezado `link` malicioso, lo que resultaría en un uso excesivo de la CPU y potencialmente causaría que el servidor dejara de responder, lo que afectaría la disponibilidad del servicio. La versión 9.2.1 corrige el problema.

@octokit/endpoint convierte los endpoints de la API REST en opciones de solicitud genéricas. A partir de la versión 4.1.0 y antes de la versión 10.1.3, al crear parámetros `options` específicos, se puede activar la llamada `endpoint.parse(options)`, lo que lleva a un ataque de denegación de servicio de expresión regular (ReDoS). Esto hace que el programa se cuelgue y da como resultado un alto uso de la CPU. El problema ocurre en la función `parse` dentro del archivo `parse.ts` del paquete npm `@octokit/endpoint`. La versión 10.1.3 contiene un parche para el problema.

@octokit/plugin-paginate-rest es el complemento de Octokit para paginar las respuestas de los endpoints de la API REST. En las versiones que comienzan con la 1.0.0 y anteriores a la 11.4.1 del paquete npm `@octokit/plugin-paginate-rest`, al llamar a `octokit.paginate.iterator()`, una instancia de `octokit` especialmente manipulada (en particular, con un parámetro `link` malicioso en la sección `headers` de `request`) puede desencadenar un ataque ReDoS. La versión 11.4.1 contiene una solución para el problema.

Las versiones 9.11.x <= 9.11.6 de Mattermost no pueden filtrar los mensajes directos del endpoint de canales eliminados, lo que permite a un atacante inferir las identificaciones de usuario y otros metadatos de los mensajes directos eliminados si alguien había marcado manualmente los mensajes directos como eliminados en la base de datos.

Se encontró una vulnerabilidad de inyección SQL en /bpms/index.php en Source Code and Project Beauty Parlour Management System V1.1, que permite a atacantes remotos ejecutar código arbitrario a través del parámetro de solicitud POST de nombre.