Vulnerabilidades

openapi-to-java-records-mustache-templates permite a los usuarios generar Java Records a partir de especificaciones OpenAPI. A partir de la versión 5.1.1 y antes de la versión 5.5.1, el archivo POM padre de este proyecto ('openapi-to-java-records-mustache-templates-parent'), que se utiliza para centralizar las configuraciones de plugins para múltiples módulos de pruebas unitarias, utiliza 'maven-dependency-plugin' para desempaquetar archivos '.mustache' arbitrarios del artefacto 'openapi-to-java-records-mustache-templates' (de la misma versión). Aunque este archivo POM padre no está destinado para uso externo, está publicado y podría ser utilizado por cualquiera, y no sigue las mejores prácticas de seguridad. El riesgo, es que si 'openapi-to-java-records-mustache-templates' fuera comprometido, y se incluyeran archivos '.mustache' maliciosos en el JAR/artefacto resultante, los usuarios desempaquetarían estos archivos automáticamente durante una actualización de dependencia. Esto se aborda en la versión v3.5.1 de 'openapi-to-java-records-mustache-templates-parent'. Se recomienda encarecidamente NO utilizar el POM padre para uso externo. El módulo 'openapi-to-java-records-mustache-templates' es el centro de este proyecto, y los módulos y configuraciones circundantes no están destinados para uso en producción. Estos solo existen con fines de prueba y mantenibilidad.

La Wiki de Modding de Hytale es un servicio gratuito para que los mods de Hytale alojen su documentación y wikis. Una vulnerabilidad de Referencia Directa a Objeto Insegura (IDOR) en versiones de la wiki anteriores a la 1.0.0 expone la información personal de los autores de mods - incluyendo nombres completos y direcciones de correo electrónico - a cualquier usuario autenticado que visita una página de mod. Cualquier usuario que crea una cuenta puede acceder a detalles sensibles del autor simplemente navegando a la página de un mod a través de su slug. La versión 1.0.0 soluciona el problema.

ApostropheCMS es un framework de gestión de contenido de código abierto. Antes de la versión 3.5.3 de `'@apostrophecms/import-export'`, la función `'extract'`() en `'gzip.js'` construye rutas de escritura de archivos usando `'fs.createWriteStream(path.join(exportPath, header.name))'`. `'path.join'`() no resuelve ni sanitiza segmentos de recorrido como `'../'`. Los concatena tal cual, lo que significa que una entrada tar llamada `'../../evil.js'` se resuelve a una ruta fuera del directorio de extracción previsto. No se realiza ninguna comprobación de ruta canónica antes de que se abra el flujo de escritura. Esta es una vulnerabilidad Zip Slip de libro de texto. Cualquier usuario al que se le haya concedido el permiso de Modificar Contenido Global — un rol asignado rutinariamente a editores de contenido y administradores de sitios — puede cargar un archivo '.tar.gz' manipulado a través de la interfaz de usuario de importación estándar del CMS y escribir contenido controlado por el atacante en cualquier ruta que el proceso de Node.js pueda alcanzar en el sistema de archivos del host. La versión 3.5.3 de `'@apostrophecms/import-export'` soluciona el problema.

ApostropheCMS es un framework de gestión de contenido de código abierto. Antes de la versión 4.28.0, el middleware de autenticación de token de portador en `@apostrophecms/express/index.js` (líneas 386-389) contiene una consulta de MongoDB incorrecta que permite que tokens de inicio de sesión incompletos — donde la contraseña fue verificada pero los requisitos de TOTP/MFA NO lo fueron — sean usados como tokens de portador completamente autenticados. Esto omite completamente la autenticación multifactor para cualquier despliegue de ApostropheCMS que use `@apostrophecms/login-totp` o cualquier requisito de inicio de sesión `afterPasswordVerified` personalizado. La versión 4.28.0 corrige el problema.

Una vulnerabilidad en el proceso de extracción pyfunc de MLflow permite escrituras arbitrarias de archivos debido a un manejo inadecuado de las entradas de archivos tar. Específicamente, el uso de 'tarfile.extractall' sin validación de ruta permite que archivos tar.gz manipulados que contienen '..' o rutas absolutas escapen del directorio de extracción previsto. Este problema afecta a la última versión de MLflow y plantea un riesgo alto/crítico en escenarios que involucran entornos multi-inquilino o la ingesta de artefactos no confiables, ya que puede conducir a sobrescrituras arbitrarias de archivos y potencial ejecución remota de código.

Parse Server es un backend de código abierto que puede ser desplegado en cualquier infraestructura que pueda ejecutar Node.js. Antes de 9.6.0-alpha.29 y 8.6.49, un usuario podía registrarse sin proporcionar credenciales enviando un objeto 'authData' vacío, eludiendo el requisito de nombre de usuario y contraseña. Esto permite la creación de sesiones autenticadas sin credenciales adecuadas, incluso cuando los usuarios anónimos están deshabilitados. La corrección en 9.6.0-alpha.29 y 8.6.49 asegura que 'authData' vacío o no procesable sea tratado igual que un 'authData' ausente a efectos de la validación de credenciales en la creación de nuevos usuarios. Ahora se requieren nombre de usuario y contraseña cuando no hay datos de proveedor de autenticación válidos presentes. Como solución alternativa, utilice un disparador 'beforeSave' de Cloud Code en la clase '_User' para rechazar registros donde 'authData' esté vacío y no se proporcione nombre de usuario/contraseña.

Parse Server es un backend de código abierto que puede ser desplegado en cualquier infraestructura que pueda ejecutar Node.js. Antes de las versiones 9.6.0-alpha.35 y 8.6.50, cuando un disparador 'Parse.Cloud.afterLiveQueryEvent' se registra para una clase, el servidor LiveQuery filtra campos protegidos y 'authData' a todos los suscriptores de esa clase. Los campos configurados como protegidos a través de Permisos a Nivel de Clase ('protectedFields') se incluyen en las cargas útiles de eventos de LiveQuery para todos los tipos de eventos (crear, actualizar, eliminar, entrar, salir). Cualquier usuario con permisos CLP suficientes para suscribirse a la clase afectada puede recibir datos de campos protegidos de otros usuarios, incluyendo información personal sensible y tokens OAuth de proveedores de autenticación de terceros. La vulnerabilidad fue causada por un error de desvinculación de referencia. Cuando un disparador 'afterEvent' se registra, el servidor LiveQuery convierte el objeto de evento en un 'Parse.Object' para el disparador, luego crea una nueva copia JSON a través de 'toJSONwithObjects()'. El filtro de datos sensibles se aplicó a la referencia de 'Parse.Object', pero la copia JSON sin filtrar fue enviada a los clientes. La corrección en las versiones 9.6.0-alpha.35 y 8.6.50 asegura que la copia JSON se reasigne al objeto de respuesta antes de filtrar, de modo que el filtro opera sobre los datos reales enviados a los clientes. Como solución alternativa, elimine todos los registros de disparadores 'Parse.Cloud.afterLiveQueryEvent'. Sin un disparador 'afterEvent', la desvinculación de referencia no ocurre y los campos protegidos se filtran correctamente.

Escritura de array fuera de límites en Xpdf 4.06 y versiones anteriores, debido a una validación incorrecta del campo 'N' en espacios de color ICCBased.

Parse Server es un backend de código abierto que puede ser desplegado en cualquier infraestructura que pueda ejecutar Node.js. Antes de 9.6.0-alpha.17 y 8.6.42, un usuario autenticado puede sobrescribir campos de sesión generados por el servidor ('sessionToken', 'expiresAt', 'createdWith') al crear un objeto de sesión a través de 'POST /classes/_Session'. Esto permite eludir la política de expiración de sesión del servidor al establecer una fecha de expiración arbitraria en un futuro lejano. También permite establecer un valor de token de sesión predecible. A partir de la versión 9.6.0-alpha.17 y 8.6.42, el endpoint de creación de sesión filtra los campos generados por el servidor de los datos proporcionados por el usuario, impidiendo que sean sobrescritos. Como solución alternativa, añada un disparador 'beforeSave' en la clase '_Session' para validar y rechazar o eliminar cualquier valor proporcionado por el usuario para 'sessionToken', 'expiresAt' y 'createdWith'.

Parse Server es un backend de código abierto que puede ser desplegado en cualquier infraestructura que pueda ejecutar Node.js. Antes de 9.6.0-alpha.19 y 8.6.43, un atacante remoto puede provocar la caída del Parse Server al suscribirse a un LiveQuery con un patrón de expresión regular inválido. El proceso del servidor termina cuando el patrón inválido llega al motor de expresiones regulares durante la coincidencia de suscripción, causando denegación de servicio para todos los clientes conectados. La corrección en 9.6.0-alpha.19 y 8.6.43 valida los patrones de expresiones regulares en el momento de la suscripción, rechazando patrones inválidos antes de que sean almacenados. Además, un try-catch de defensa en profundidad evita que cualquier error de coincidencia de suscripción provoque la caída del proceso del servidor. Como solución alternativa, deshabilite LiveQuery si no es necesario.

Parse Server es un backend de código abierto que puede ser desplegado en cualquier infraestructura que pueda ejecutar Node.js. Antes de 9.6.0-alpha.20 y 8.6.44, un atacante puede eludir la protección predeterminada de la lista de denegación de palabras clave de solicitud y el permiso a nivel de clase para añadir campos enviando una solicitud manipulada que explota la contaminación de prototipos en el mecanismo de copia profunda. Esto permite inyectar campos en esquemas de clase que tienen la adición de campos bloqueada, y puede causar conflictos permanentes de tipo de esquema que no pueden resolverse ni siquiera con la clave maestra. En 9.6.0-alpha.20 y 8.6.44, la biblioteca vulnerable de copia profunda de terceros ha sido reemplazada por un mecanismo de clonación profunda incorporado que maneja las propiedades de prototipo de forma segura, permitiendo que la comprobación de la lista de denegación existente detecte y rechace correctamente la palabra clave prohibida. No se conocen soluciones alternativas disponibles.

Parse Server es un backend de código abierto que puede ser desplegado en cualquier infraestructura que pueda ejecutar Node.js. Antes de las versiones 9.6.0-alpha.24 y 8.6.47, clientes remotos pueden bloquear el proceso de Parse Server al llamar a un endpoint de función en la nube con un nombre de función manipulado que atraviesa la cadena de prototipos de JavaScript de un gestor de función en la nube registrado, causando un desbordamiento de pila. La corrección en las versiones 9.6.0-alpha.24 y 8.6.47 restringe las búsquedas de propiedades durante la resolución de nombres de funciones en la nube solo a las propiedades propias, evitando el recorrido de la cadena de prototipos desde los gestores de funciones almacenados. No existe una solución alternativa conocida.