Vulnerabilidades

Hwameistor es un sistema de almacenamiento local de alta disponibilidad para cargas de trabajo nativas de la nube con estado. Este ClusterRole tiene * verbos de * recursos. Si un usuario malintencionado puede acceder al nodo de trabajo que tiene la implementación de hwameistor, puede abusar de estos permisos excesivos para hacer lo que quiera con todo el clúster, lo que da como resultado una escalada de privilegios a nivel de clúster. Este problema se ha corregido en la versión 0.14.6. Se recomienda a todos los usuarios que actualicen. Los usuarios que no puedan actualizar deben actualizar y limitar el ClusterRole mediante security-role.

El control de acceso incorrecto en el componente /servlet/SnoopServlet de Shenzhou News Union Enterprise Management System v5.0 a v18.8 permite a los atacantes acceder a información confidencial sobre el servidor.

jupyterlab es un entorno extensible para computación interactiva y reproducible, basado en la arquitectura Jupyter Notebook. Esta vulnerabilidad depende de la interacción del usuario al abrir un notebook malicioso con celdas Markdown o un archivo Markdown utilizando la función de vista previa de JupyterLab. Un usuario malicioso puede acceder a cualquier dato al que tenga acceso el usuario atacado, así como realizar solicitudes arbitrarias actuando como el usuario atacado. JupyterLab v3.6.8, v4.2.5 y Jupyter Notebook v7.2.2 han sido parcheados para resolver este problema. Se recomienda a los usuarios que actualicen. No existe un workaround para la susceptibilidad subyacente de DOM Clobbering. Sin embargo, se pueden deshabilitar complementos seleccionados en implementaciones que no se pueden actualizar de manera oportuna para minimizar el riesgo. Estos son: 1. `@jupyterlab/mathjax-extension:plugin`: los usuarios perderán la capacidad de obtener una vista previa de ecuaciones matemáticas. 2. `@jupyterlab/markdownviewer-extension:plugin`: los usuarios perderán la capacidad de abrir vistas previas de Markdown. 3. `@jupyterlab/mathjax2-extension:plugin` (si se instala con el paquete opcional `jupyterlab-mathjax2`): una versión anterior del complemento mathjax para JupyterLab 4.x. Para deshabilitar estas extensiones, ejecute: ```jupyter labextension deshabilitar @jupyterlab/markdownviewer-extension:plugin && jupyter labextension deshabilitar @jupyterlab/mathjax-extension:plugin && jupyter labextension deshabilitar @jupyterlab/mathjax2-extension:plugin ``` en bash.

El firmware V1.1.1-B20200824 del enrutador inalámbrico TOTOLINK AC1200 A3002R es vulnerable a un desbordamiento de búfer. En la función de manejo de CGI formWlEncrypt del programa del servidor boa, no hay ninguna restricción de longitud en el campo wlan_ssid. Este descuido conduce a un posible desbordamiento de búfer en circunstancias específicas. Por ejemplo, al invocar la función formWlanRedirect con parámetros específicos para alterar el valor de wlan_idx y, posteriormente, invocar la función formWlEncrypt, un atacante puede provocar un desbordamiento de búfer, lo que permite la ejecución arbitraria de comandos o ataques de denegación de servicio.

Se encontró una vulnerabilidad de Cross-Site Request Forgery (CSRF) en Kashipara Music Management System v1.0 a través de una solicitud manipulada a la página /music/ajax.php?action=save_user.

Un problema en EQ Enterprise Management System anterior a la versión v2.0.0 permite a los atacantes ejecutar un directory traversal a través de solicitudes manipuladas.

Una vulnerabilidad de inyección SQL en /smsa/admin_login.php en Kashipara Responsive School Management System v3.2.0 permite a un atacante ejecutar comandos SQL arbitrarios a través del parámetro "nombre de usuario" de la página de inicio de sesión de administrador.

Beijing Digital China Cloud Technology Co., Ltd. DCME-320 v.7.4.12.60 tiene una vulnerabilidad de ejecución de comandos, que puede explotarse para obtener privilegios de administrador del dispositivo a través de la función getVar en el archivo code/function/system/tool/ping.php.

Un problema en el componente EXR!ReadEXR+0x40ef1 de Irfanview v4.67.1.0 permite a los atacantes provocar una violación de acceso a través de un archivo EXR creado por un usuario. Esta vulnerabilidad puede provocar una denegación de servicio (DoS).

Un problema en el componente EXR!ReadEXR+0x3df50 de Irfanview v4.67.1.0 permite a los atacantes provocar una violación de acceso a través de un archivo EXR creado por un usuario. Esta vulnerabilidad puede provocar una denegación de servicio (DoS).

Un problema en el componente EXR!ReadEXR+0x4eef0 de Irfanview v4.67.1.0 permite a los atacantes provocar una violación de acceso a través de un archivo EXR creado por un usuario. Esta vulnerabilidad puede provocar una denegación de servicio (DoS).

Un control de acceso inadecuado en la función de sincronización del portapapeles en TeamViewer Full Client versión anterior a 15.57 y TeamViewer Meeting versión anterior a 15.55.3 puede provocar que se comparta involuntariamente el portapapeles con el presentador actual de una reunión.