Vulnerabilidades

Las aplicaciones Lua se pueden implementar, eliminar, iniciar, recargar o detener sin autorización a través de AppManager. Esto permite que un atacante elimine aplicaciones legítimas y cree un ataque DoS, lea y escriba archivos o cargue aplicaciones que utilicen todas las funciones del producto disponibles para un cliente.

El proceso de autenticación en el servidor web utiliza un procedimiento de desafío-respuesta que incluye el nonce y otra información adicional. Este desafío se puede utilizar varias veces para iniciar sesión y, por lo tanto, es vulnerable a un ataque de repetición.

Dado que la actualización del firmware no está validada, un atacante puede instalar un firmware modificado en el dispositivo. Esto tiene un gran impacto en la disponibilidad, integridad y confidencialidad, e incluso puede comprometer por completo el dispositivo.

El producto es vulnerable a ataques de tipo pass-the-hash en combinación con credenciales codificadas de niveles de usuario ocultos. Esto significa que un atacante puede iniciar sesión con los niveles de usuario ocultos y obtener acceso total al dispositivo.

Debido a la falta de validación de entrada durante un paso del proceso de actualización del firmware, el producto es vulnerable a la ejecución remota de código. Con acceso a la red y el nivel de usuario "Servicio", un atacante puede ejecutar comandos arbitrarios del sistema en los contextos del usuario raíz.

Se descubrió un problema en Django 5.1 anterior a 5.1.4, 5.0 anterior a 5.0.10 y 4.2 anterior a 4.2.17. El uso directo de la búsqueda django.db.models.fields.json.HasKey, cuando se utiliza una base de datos Oracle, está sujeto a inyección SQL si se utilizan datos no confiables como valor de lhs. (Las aplicaciones que utilizan la búsqueda jsonfield.has_key mediante __ no se ven afectadas).

Se descubrió un problema en Django 5.1 anterior a 5.1.4, 5.0 anterior a 5.0.10 y 4.2 anterior a 4.2.17. El método strip_tags() y el filtro de plantilla striptags están sujetos a un posible ataque de denegación de servicio a través de ciertas entradas que contienen secuencias grandes de entidades HTML incompletas anidadas.

El complemento KiviCare – Clinic & Patient Management System (EHR) para WordPress es vulnerable a la inyección SQL a través del parámetro 'sort[]' de la acción AJAX static_data_list en todas las versiones hasta la 3.6.4 incluida, debido a un escape insuficiente en el parámetro proporcionado por el usuario y a la falta de preparación suficiente en la consulta SQL existente. Esto permite que los atacantes autenticados, con acceso de nivel médico/recepcionista y superior, agreguen consultas SQL adicionales a las consultas ya existentes que se pueden usar para extraer información confidencial de la base de datos.

El complemento KiviCare – Clinic & Patient Management System (EHR) para WordPress es vulnerable a la inyección SQL a través del parámetro 'service_list[0][service_id]' de la acción AJAX get_widget_payment_options en todas las versiones hasta la 3.6.4 incluida, debido a un escape insuficiente en el parámetro proporcionado por el usuario y a la falta de preparación suficiente en la consulta SQL existente. Esto permite que los atacantes autenticados, con acceso de nivel personalizado y superior, agreguen consultas SQL adicionales a las consultas ya existentes que se pueden usar para extraer información confidencial de la base de datos.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: netfilter: ipset: agrega comprobación de rango faltante en bitmap_ip_uadt Cuando tb[IPSET_ATTR_IP_TO] no está presente pero tb[IPSET_ATTR_CIDR] existe, los valores de ip e ip_to se intercambian ligeramente. Por lo tanto, la comprobación de rango para ip debería realizarse más tarde, pero esta parte falta y parece que ocurre la vulnerabilidad. Por lo tanto, deberíamos agregar las comprobaciones de rango faltantes y eliminar las comprobaciones de rango innecesarias.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: initramfs: evitar el desbordamiento del búfer del nombre de archivo El campo de nombre de archivo de initramfs se define en Documentation/driver-api/early-userspace/buffer-format.rst como: 37 cpio_file := ALGN(4) + cpio_header + filename + "\0" + ALGN(4) + data ... 55 ============== =================== ========================== 56 Nombre de campo Tamaño del campo Significado 57 ============= =================== ========================== ... 70 c_namesize 8 bytes Longitud del nombre de archivo, final \0 Al extraer un archivo cpio de initramfs, el manejador de ruta do_name() del núcleo asume una ruta terminada en cero en @collected, pasándola directamente a filp_open() / init_mkdir() / init_mknod(). Si una entrada cpio especialmente diseñada lleva un nombre de archivo que no termina en cero y es seguida por memoria no inicializada, entonces se puede crear un archivo con caracteres finales que representan la memoria no inicializada. La capacidad de crear una entrada initramfs implicaría ya tener control total del sistema, por lo que el desbordamiento del búfer no debería considerarse una vulnerabilidad de seguridad. Adjunte la salida del siguiente script bash a un initramfs existente y observe cualquier ruta /initramfs_test_fname_overrunAA* creada. Por ejemplo, ./reproducer.sh | Es más fácil observar memoria no inicializada distinta de cero cuando se comprime la salida, ya que desbordará el montón asignado @out_buf en __gunzip(), en lugar del bloque initrd_start+initrd_size. ---- reproducter.sh ---- nilchar="A" # cambia a "\0" para terminar correctamente en cero / rellenar magic="070701" ino=1 mode=$(( 0100777 )) uid=0 gid=0 nlink=1 mtime=1 filesize=0 devmajor=0 devminor=1 rdevmajor=0 rdevminor=0 csum=0 fname="initramfs_test_fname_overrun" namelen=$(( ${#fname} + 1 )) # más uno para tener en cuenta el terminador printf "%s%08x%08x%08x%08x%08x%08x%08x%08x%08x%08x%08x%08x%08x%08x%s" \ $magic $ino $mode $uid $gid $nlink $mtime $filesize \ $devmajor $devminor $rdevmajor $rdevminor $namelen $csum $fname termpadlen=$(( 1 + ((4 - ((110 + $namelen) & 3)) % 4) )) printf "%.s${nilchar}" $(seq 1 $termpadlen) ---- reproducer.sh ---- Los campos de nombre de archivo de enlace simbólico manejados en do_symlink() no se desbordarán más allá del segmento de datos, debido a la terminación explícita en cero del objetivo del enlace simbólico. Corrija el desbordamiento del búfer de nombre de archivo abortando el FSM initramfs si alguna entrada cpio no lleva un terminador en cero en el desplazamiento esperado (name_len - 1).

El complemento Pojo Forms para WordPress es vulnerable a la ejecución arbitraria de códigos cortos mediante la acción AJAX form_preview_shortcode en todas las versiones hasta la 1.4.7 incluida. Esto se debe a que el software permite a los usuarios ejecutar una acción que no valida correctamente un valor antes de ejecutar do_shortcode. Esto hace posible que los atacantes autenticados, con acceso de nivel de suscriptor y superior, ejecuten códigos cortos arbitrarios. Esto se solucionó parcialmente en la versión 1.4.8.