Vulnerabilidades

Las versiones 6.5.22 y anteriores de Adobe Experience Manager se ven afectadas por una vulnerabilidad de cross site scripting (XSS) almacenado que un atacante con pocos privilegios podría aprovechar para inyectar scripts maliciosos en campos de formulario vulnerables. Es posible que se ejecute JavaScript malicioso en el navegador de la víctima al acceder a la página que contiene el campo vulnerable.

Las versiones 6.5.22 y anteriores de Adobe Experience Manager se ven afectadas por una vulnerabilidad de cross site scripting (XSS) almacenado que un atacante con pocos privilegios podría aprovechar para inyectar scripts maliciosos en campos de formulario vulnerables. Es posible que se ejecute JavaScript malicioso en el navegador de la víctima al acceder a la página que contiene el campo vulnerable.

Las versiones 6.5.22 y anteriores de Adobe Experience Manager se ven afectadas por una vulnerabilidad de cross site scripting (XSS) almacenado que un atacante con pocos privilegios podría aprovechar para inyectar scripts maliciosos en campos de formulario vulnerables. Es posible que se ejecute JavaScript malicioso en el navegador de la víctima al acceder a la página que contiene el campo vulnerable.

Las versiones 6.5.22 y anteriores de Adobe Experience Manager se ven afectadas por una vulnerabilidad de cross site scripting (XSS) almacenado que un atacante con pocos privilegios podría aprovechar para inyectar scripts maliciosos en campos de formulario vulnerables. Es posible que se ejecute JavaScript malicioso en el navegador de la víctima al acceder a la página que contiene el campo vulnerable.

Las versiones 6.5.22 y anteriores de Adobe Experience Manager se ven afectadas por una vulnerabilidad de cross site scripting (XSS) almacenado que un atacante con pocos privilegios podría aprovechar para inyectar scripts maliciosos en campos de formulario vulnerables. Es posible que se ejecute JavaScript malicioso en el navegador de la víctima al acceder a la página que contiene el campo vulnerable.

Las versiones 6.5.22 y anteriores de Adobe Experience Manager se ven afectadas por una vulnerabilidad de cross site scripting (XSS) almacenado que un atacante con pocos privilegios podría aprovechar para inyectar scripts maliciosos en campos de formulario vulnerables. Es posible que se ejecute JavaScript malicioso en el navegador de la víctima al acceder a la página que contiene el campo vulnerable.

Las versiones 6.5.22 y anteriores de Adobe Experience Manager se ven afectadas por una vulnerabilidad de autorización incorrecta que podría provocar una escalada de privilegios. Un atacante con pocos privilegios podría aprovechar esta vulnerabilidad para eludir las medidas de seguridad y obtener acceso no autorizado. Para explotar este problema se requiere la interacción del usuario. Un atacante con éxito puede abusar de esta vulnerabilidad para tomar el control de la sesión, lo que aumenta el impacto en la confidencialidad y la integridad.

Las versiones 6.5.22 y anteriores de Adobe Experience Manager se ven afectadas por una vulnerabilidad de cross site scripting (XSS) almacenado que un atacante con pocos privilegios podría aprovechar para inyectar scripts maliciosos en campos de formulario vulnerables. Es posible que se ejecute JavaScript malicioso en el navegador de la víctima al acceder a la página que contiene el campo vulnerable.

Las versiones 6.5.22 y anteriores de Adobe Experience Manager se ven afectadas por una vulnerabilidad de cross site scripting (XSS) reflejado, que un atacante con pocos privilegios podría aprovechar para inyectar scripts maliciosos en campos de formulario vulnerables. JavaScript malicioso puede ejecutarse en el navegador de la víctima al acceder a la página que contiene el campo vulnerable. Un atacante con éxito puede aprovechar esto para tomar el control de la sesión, lo que aumenta el impacto en la confidencialidad y la integridad.

Cuando una cuenta de usuario de Apache CloudStack crea un clúster de Kubernetes basado en CKS en un proyecto, la clave API y la clave secreta del usuario "kubeadmin" de la cuenta del autor de la llamada se utilizan para crear la configuración secreta en el clúster de Kubernetes basado en CKS. Un miembro del proyecto con acceso al clúster de Kubernetes basado en CKS también puede acceder a la clave API y la clave secreta del usuario "kubeadmin" de la cuenta del creador del clúster. Un atacante miembro del proyecto puede aprovechar esto para suplantar la identidad y realizar acciones privilegiadas que pueden comprometer por completo la confidencialidad, integridad y disponibilidad de los recursos de la cuenta del creador. Se recomienda a los usuarios de CKS actualizar a la versión 4.19.3.0 o 4.20.1.0, que soluciona este problema. Actualización de clústeres de Kubernetes existentes en proyectos. Se debe crear una cuenta de servicio para cada proyecto a fin de proporcionar acceso limitado, específicamente para los proveedores de clústeres de Kubernetes y el escalado automático. Siga los pasos a continuación para crear una nueva cuenta de servicio, actualizar el secreto dentro del clúster y regenerar las claves de API y de servicio existentes: 1. Cree una nueva cuenta de servicio. Cree una nueva cuenta con el rol "Rol de servicio de Kubernetes del proyecto" con la siguiente información: Nombre de la cuenta: kubeadmin- Nombre: Kubernetes Apellido: Usuario de servicio Tipo de cuenta: 0 (Usuario normal) ID de rol: 2. Agregue la cuenta de servicio al proyecto. Agregue esta cuenta al proyecto donde se alojan los clústeres de Kubernetes. 3. Genere las claves de API y secretas. Genere la clave de API y la clave secreta para el usuario predeterminado de esta cuenta. 4. Actualice el secreto de CloudStack en el clúster de Kubernetes. Cree un archivo temporal `/tmp/cloud-config` con los siguientes datos: api-url = # Por ejemplo: /client/api api-key = secret-key = project-id = Elimine el secreto existente usando kubectl y la configuración del clúster de Kubernetes: ./kubectl --kubeconfig kube.conf -n kube-system delete secret cloudstack-secret Cree un nuevo secreto usando kubectl y la configuración del clúster de Kubernetes: ./kubectl --kubeconfig kube.conf -n kube-system create secret generic cloudstack-secret --from-file=/tmp/cloud-config Elimine el archivo temporal: rm /tmp/cloud-config5. Regenerar API y claves secretasRegenere la API y las claves secretas para la cuenta de usuario original que se utilizó para crear el clúster de Kubernetes.

El complemento CloudStack Quota, presenta una lógica de gestión de privilegios incorrecta en la versión 4.20.0.0. Cualquier persona con acceso autenticado a cuentas de usuario en entornos de CloudStack 4.20.0.0 donde este complemento esté habilitado y tenga acceso a API específicas puede habilitar o deshabilitar la recepción de correos electrónicos relacionados con la cuota para cualquier cuenta del entorno y mostrar sus configuraciones. Se recomienda a los usuarios del complemento de cuota que utilicen CloudStack 4.20.0.0 que actualicen a la versión 4.20.1.0 de CloudStack, que soluciona este problema.

Se encontró una vulnerabilidad clasificada como crítica en code-projects Restaurant Order System 1.0. Esta vulnerabilidad afecta al código desconocido del archivo /order.php. La manipulación del argumento tabidNoti provoca una inyección SQL. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado.