Vulnerabilidades

Vulnerabilidad de neutralización incorrecta de la entrada durante la generación de páginas web ('Cross-site Scripting') en el NotFound Frontend Post Submission permite XSS reflejado. Este problema afecta al envío de entradas de la interfaz desde n/d hasta la versión 1.0.

La vulnerabilidad de neutralización incorrecta de la entrada durante la generación de páginas web ('Cross-site Scripting') en NotFound FOMO Pay Chinese Payment Solution permite XSS reflejado. Este problema afecta a la solución de pago china FOMO Pay desde n/d hasta la versión 2.0.4.

La vulnerabilidad de neutralización incorrecta de la entrada durante la generación de páginas web ('Cross-site Scripting') en NotFound RDP inGroups+ permite XSS reflejado. Este problema afecta a RDP inGroups+ desde n/d hasta la versión 1.0.6.

La vulnerabilidad de neutralización incorrecta de la entrada durante la generación de páginas web ('Cross-site Scripting') en Robert D Payne RDP Linkedin Login permite XSS reflejado. Este problema afecta al inicio de sesión de Linkedin con RDP desde n/d hasta la versión 1.7.0.

Vulnerabilidad de neutralización incorrecta de la entrada durante la generación de páginas web ('Cross-site Scripting') en wpsiteeditor Site Editor Google Map permite XSS reflejado. Este problema afecta al editor de sitios de Google Maps desde n/d hasta la versión 1.0.1.

La vulnerabilidad de neutralización incorrecta de la entrada durante la generación de páginas web ('Cross-site Scripting') en Riyaz GetSocial permite XSS reflejado. Este problema afecta a GetSocial desde n/d hasta la versión 2.0.1.

La vulnerabilidad de neutralización incorrecta de la entrada durante la generación de páginas web ('Cross-site Scripting') en NotFound NS Simple Intro Loader permite XSS reflejado. Este problema afecta a NS Simple Intro Loader desde n/d hasta la versión 2.2.3.

La vulnerabilidad de neutralización incorrecta de la entrada durante la generación de páginas web ('Cross-site Scripting') en NotFound RWS Enquiry and Lead Follow-up permite XSS reflejado. Este problema afecta a RWS Enquiry and Lead Follow-up desde n/d hasta la versión 1.0.

Discourse es una plataforma de discusión de código abierto. Antes de las versiones 3.3.4 de la rama estable y 3.4.0.beta5 de la rama beta, alguien que estuviera a punto de alcanzar el límite de usuarios en un mensaje directo grupal podía enviar solicitudes para agregar nuevos usuarios en paralelo. Debido a una condición de ejecución, todas las solicitudes podían procesarse ignorando el límite. El parche de las versiones 3.3.4 y 3.4.0.beta5 utiliza el paso de bloqueo del servicio para encapsular parte del servicio `add_users_to_channel` dentro de un bloqueo/mutex distribuido y así evitar la condición de ejecución.

Icinga Director es una herramienta de implementación de configuración de Icinga. Se ha detectado una vulnerabilidad de seguridad a partir de la versión 1.0.0 y anteriores a las 1.10.3 y 1.11.3 en varios directores endpoints de la API REST. Para reproducir esta vulnerabilidad, se requiere un usuario autenticado con permiso de acceso a Director (además de acceso a la API en relación con los endpoints de la API). Aunque algunos de estos usuarios de Icinga Director tienen restringido el acceso a ciertos objetos, pueden recuperar información relacionada con ellos si se conoce su nombre. Esto permite que los usuarios de Icinga Director con acceso restringido modifiquen la configuración de estos objetos. Esto da lugar a una mayor explotación, filtraciones de datos y divulgación de información confidencial. Los endpoints afectados incluyen icingaweb2/director/service (si el nombre de host no se incluye en la consulta); icingaweb2/directore/notification; icingaweb2/director/serviceset; e icingaweb2/director/scheduled-downtime. Además, el endpoint `icingaweb2/director/services?host=filteredHostName` devuelve un código de estado 200, aunque los servicios del host estén filtrados. Esto, a su vez, informa al usuario restringido de que el host `filteredHostName` existe, aunque tenga restringido el acceso. Esto podría provocar una mayor explotación de esta información y filtraciones de datos. Icinga Director cuenta con parches en las versiones 1.10.3 y 1.11.1. Si no es posible actualizar, deshabilite el módulo director para los usuarios que no tengan rol de administrador por el momento.

Existe una vulnerabilidad de ejecución de código en la aplicación Xiaomi Game Center. Esta vulnerabilidad se debe a una validación de entrada incorrecta y puede ser explotada por atacantes para ejecutar código malicioso.

IBM Cognos Controller 11.0.0 a 11.1.0 es vulnerable a un ataque de Client-Side Desync (CSD) donde un atacante podría explotar una conexión de navegador desincronizada que podría conducir a otros ataques de cross-site scripting (XSS).