Vulnerabilidades

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad:<br /> <br /> arm64/fpsimd: ptrace: Corrige escrituras SVE en sistemas sin SME<br /> <br /> Cuando SVE es compatible pero SME no lo es, una escritura de ptrace al regset NT_ARM_SVE puede colocar al tracee en un estado inválido donde los datos del registro SVE (no streaming) se almacenan en formato FP_STATE_SVE pero TIF_SVE está en cero. Esto puede resultar en una advertencia posterior de fpsimd_restore_current_state(), por ejemplo:<br /> <br /> WARNING: CPU: 0 PID: 7214 at arch/arm64/kernel/fpsimd.c:383 fpsimd_restore_current_state+0x50c/0x748<br /> <br /> Cuando esto sucede, fpsimd_restore_current_state() establecerá TIF_SVE, colocando la tarea en el estado correcto. Esto ocurre antes de que cualquier otra verificación de TIF_SVE pueda ocurrir, ya que otras verificaciones de TIF_SVE solo suceden mientras el estado FPSIMD/SVE/SME está activo. Por lo tanto, aparte de la advertencia, no hay ningún problema funcional.<br /> <br /> Este error fue introducido durante una revisión del manejo de errores en el commit:<br /> <br /> 9f8bf718f2923 (&amp;#39;arm64/fpsimd: ptrace: Manejar errores con gracia&amp;#39;)<br /> <br /> ... donde la configuración de TIF_SVE se movió a un bloque que solo se ejecuta cuando system_supports_sme() es verdadero.<br /> <br /> Esto se soluciona eliminando la verificación de system_supports_sme(). Esto asegura que TIF_SVE se establezca para escrituras (con formato SVE) a NT_ARM_SVE, a costa de manipular incondicionalmente el valor svcr guardado del tracee. La manipulación de svcr es inofensiva y de bajo costo, y ya hacemos algo similar en otros lugares (por ejemplo, durante el manejo de señales), por lo que no creo que valga la pena condicionar esto a verificaciones de system_supports_sme().<br /> <br /> Aparte de lo anterior, no hay ningún cambio funcional. El argumento &amp;#39;type&amp;#39; de sve_set_common() solo se establece en ARM64_VEC_SME (en ssve_set()) cuando system_supports_sme(), por lo que el caso ARM64_VEC_SME en la declaración switch sigue siendo inalcanzable cuando system_supports_sme() es falso. Cuando CONFIG_ARM64_SME=n, el único llamador de sve_set_common() es sve_set(), y el compilador puede realizar plegado de constantes para el caso en que &amp;#39;type&amp;#39; es ARM64_VEC_SVE, eliminando la lógica para otros casos.

En el kernel de Linux, la siguiente vulnerabilidad ha sido resuelta:<br /> <br /> serial: Corrige la condición de carrera de tty-&amp;gt;port no establecido<br /> <br /> Revertir el commit bfc467db60b7 (&amp;#39;serial: eliminar tty_port_link_device() redundante&amp;#39;) porque tty_port_link_device() no es redundante: el tty-&amp;gt;port tiene que ser configurado antes de que llamemos a uart_configure_port(), de lo contrario, el espacio de usuario puede abrir la consola sin un TTY vinculado al controlador.<br /> <br /> Este tty_port_link_device() fue añadido explícitamente para evitar este problema exacto en el commit fb2b90014d78 (&amp;#39;tty: vincular tty y puerto antes de configurarlo como consola&amp;#39;), por lo que el commit ofensivo básicamente revirtió la corrección diciendo que es redundante sin abordar la condición de carrera real presentada allí.<br /> <br /> Reproducible siempre como advertencia de tty-&amp;gt;port en SoC de Qualcomm con la mayoría de los dispositivos deshabilitados, por lo que con un arranque muy rápido, y un dispositivo serie siendo la consola:<br /> <br /> printk: consola heredada [ttyMSM0] habilitada<br /> printk: consola heredada [ttyMSM0] habilitada<br /> printk: consola de arranque heredada [qcom_geni0] deshabilitada<br /> printk: consola de arranque heredada [qcom_geni0] deshabilitada<br /> ------------[ cortar aquí ]------------<br /> tty_init_dev: el controlador ttyMSM no establece tty-&amp;gt;port. Esto haría que el kernel se bloquee. ¡Arregle el controlador!<br /> ADVERTENCIA: drivers/tty/tty_io.c:1414 en tty_init_dev.part.0+0x228/0x25c, CPU#2: systemd/1<br /> Módulos vinculados: socinfo tcsrcc_eliza gcc_eliza sm3_ce fuse ipv6<br /> CPU: 2 UID: 0 PID: 1 Comm: systemd Tainted: G S 6.19.0-rc4-next-20260108-00024-g2202f4d30aa8 #73 PREEMPT<br /> Tainted: [S]=CPU_OUT_OF_SPEC<br /> Nombre del hardware: Qualcomm Technologies, Inc. Eliza (DT)<br /> ...<br /> tty_init_dev.part.0 (drivers/tty/tty_io.c:1414 (discriminador 11)) (P)<br /> tty_open (arch/arm64/include/asm/atomic_ll_sc.h:95 (discriminador 3) drivers/tty/tty_io.c:2073 (discriminador 3) drivers/tty/tty_io.c:2120 (discriminador 3))<br /> chrdev_open (fs/char_dev.c:411)<br /> do_dentry_open (fs/open.c:962)<br /> vfs_open (fs/open.c:1094)<br /> do_open (fs/namei.c:4634)<br /> path_openat (fs/namei.c:4793)<br /> do_filp_open (fs/namei.c:4820)<br /> do_sys_openat2 (fs/open.c:1391 (discriminador 3))<br /> ...<br /> Iniciando la resolución de nombres de red...<br /> <br /> Aparentemente, el flujo con este pequeño espacio de usuario de ramdisk basado en Yocto es:<br /> <br /> controlador (qcom_geni_serial.c): espacio de usuario:<br /> ============================ ===========<br /> qcom_geni_serial_probe()<br /> uart_add_one_port()<br /> serial_core_register_port()<br /> serial_core_add_one_port()<br /> uart_configure_port()<br /> register_console()<br /> |<br /> | abrir consola<br /> | ...<br /> | tty_init_dev()<br /> | driver-&amp;gt;ports[idx] es NULL<br /> |<br /> tty_port_register_device_attr_serdev()<br /> tty_port_link_device() &amp;lt;- establece driver-&amp;gt;ports[idx]

En el kernel de Linux, la siguiente vulnerabilidad ha sido resuelta:<br /> <br /> pmdomain: imx8m-blk-ctrl: Eliminar máscara separada de rst y clk para vpu 8mq<br /> <br /> Para la plataforma i.MX8MQ, el ADB en el dominio VPUMIX no tiene bits separados de reinicio y habilitación de reloj, sino que se desactiva y reinicia junto con las VPUs. Por lo tanto, no podemos reiniciar G1 o G2 por separado, podría llevar a la congelación del sistema. Eliminar rst_mask y clk_mask de imx8mq_vpu_blk_ctl_domain_data. Dejar que imx8mq_vpu_power_notifier() realice realmente el reinicio de la vpu.

En el kernel de Linux, la siguiente vulnerabilidad ha sido resuelta:<br /> <br /> ice: añadir la llamada faltante a ice_deinit_hw() en la ruta de reinicio de devlink<br /> <br /> devlink-reload resulta en un error de fallo de ice_init_hw, y luego la eliminación del controlador ice causa una desreferencia de puntero NULL.<br /> <br /> [ +0.102213] ice 0000:ca:00.0: ice_init_hw falló: -16<br /> ...<br /> [ +0.000001] Traza de Llamadas:<br /> [ +0.000003] <br /> [ +0.000006] ice_unload+0x8f/0x100 [ice]<br /> [ +0.000081] ice_remove+0xba/0x300 [ice]<br /> <br /> El commit 1390b8b3d2be (&amp;#39;ice: eliminar llamada duplicada a ice_deinit_hw() en rutas de error&amp;#39;) eliminó ice_deinit_hw() de ice_deinit_dev(). Como resultado, ice_devlink_reinit_down() ya no llama a ice_deinit_hw(), pero ice_devlink_reinit_up() todavía llama a ice_init_hw(). Dado que las colas de control no están desinicializadas, ice_init_hw() falla con -EBUSY.<br /> <br /> Añadir ice_deinit_hw() a ice_devlink_reinit_down() para corresponder con ice_init_hw() en ice_devlink_reinit_up().

En el kernel de Linux, la siguiente vulnerabilidad ha sido resuelta:<br /> <br /> rxrpc: Corregir la advertencia de condición de carrera de datos y el potencial desgarro de carga/almacenamiento<br /> <br /> Corregir lo siguiente:<br /> <br /> BUG: KCSAN: condición de carrera de datos en rxrpc_peer_keepalive_worker / rxrpc_send_data_packet<br /> <br /> que está informando un problema con las lecturas y escrituras a -&amp;gt;last_tx_at en:<br /> <br /> conn-&amp;gt;peer-&amp;gt;last_tx_at = ktime_get_seconds();<br /> <br /> y:<br /> <br /> keepalive_at = peer-&amp;gt;last_tx_at + RXRPC_KEEPALIVE_TIME;<br /> <br /> Los accesos sin bloqueo a estos dos valores no son realmente un problema, ya que la lectura solo necesita un tiempo aproximado de la última transmisión con el propósito de decidir si la transmisión de un paquete keepalive está justificada o no.<br /> <br /> Además, como -&amp;gt;last_tx_at es un valor de 64 bits, puede ocurrir desgarro en una arquitectura de 32 bits.<br /> <br /> Corregir ambos cambiando a un unsigned int para -&amp;gt;last_tx_at y almacenando solo el LSW del time64_t. Luego puede ser reconstruido cuando sea necesario, siempre que no hayan transcurrido más de 68 años desde la última transmisión.

En el kernel de Linux, la siguiente vulnerabilidad ha sido resuelta:<br /> <br /> mmc: sdhci-of-dwcmshc: Evitar la reducción ilegal del reloj en modo HS200/HS400<br /> <br /> Al operar en los modos de temporización HS200 o HS400, reducir la frecuencia del reloj por debajo de 52MHz provocará la interrupción del enlace, ya que el controlador Rockchip DWC MSHC requiere mantener un reloj mínimo de 52MHz en estos modos.<br /> <br /> Añadir una comprobación para evitar la reducción ilegal del reloj a través de debugfs:<br /> <br /> root@debian:/# echo 50000000 &amp;gt; /sys/kernel/debug/mmc0/clock<br /> root@debian:/# [ 30.090146] mmc0: ejecutando recuperación de CQE<br /> mmc0: cqhci: Fallo al detener<br /> mmc0: cqhci: TCN espurio para la etiqueta 0<br /> ADVERTENCIA: drivers/mmc/host/cqhci-core.c:797 en cqhci_irq+0x254/0x818, CPU#1: kworker/1:0H/24<br /> Módulos enlazados:<br /> CPU: 1 UID: 0 PID: 24 Comm: kworker/1:0H No contaminado 6.19.0-rc1-00001-g09db0998649d-dirty #204 PREEMPT<br /> Nombre del hardware: Placa Rockchip RK3588 EVB1 V10 (DT)<br /> Cola de trabajo: kblockd blk_mq_run_work_fn<br /> pstate: 604000c9 (nZCv daIF +PAN -UAO -TCO -DIT -SSBS BTYPE=--)<br /> pc : cqhci_irq+0x254/0x818<br /> lr : cqhci_irq+0x254/0x818<br /> ...

El plugin Media Library Folders para WordPress es vulnerable a Referencia Directa Insegura a Objeto en todas las versiones hasta la 8.3.6, inclusive, a través de las funciones delete_maxgalleria_media() y maxgalleria_rename_image() debido a la falta de validación en una clave controlada por el usuario. Esto permite a atacantes autenticados, con acceso de nivel Autor y superior, eliminar o renombrar archivos adjuntos propiedad de otros usuarios (incluidos los administradores). El flujo de renombrado también elimina todos los postmeta para el archivo adjunto objetivo, causando pérdida de datos.

El plugin Essential Addons para Elementor – Popular Elementor Templates &amp;amp; Widgets para WordPress es vulnerable a cross-site scripting almacenado a través del widget Info Box del plugin en todas las versiones hasta la 6.5.9, inclusive, debido a una sanitización de entrada insuficiente y un escape de salida deficiente en los atributos proporcionados por el usuario. Esto hace posible que atacantes autenticados, con acceso de nivel de colaborador y superior, inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.

El plugin Modula Image Gallery – Photo Grid &amp;amp; Video Gallery para WordPress es vulnerable a una omisión de autorización en todas las versiones hasta la 2.13.6, inclusive. Esto se debe a que el plugin no verifica correctamente que un usuario está autorizado para modificar publicaciones específicas antes de actualizarlas a través de la API REST. Esto hace posible que atacantes autenticados, con acceso de nivel de colaborador y superior, actualicen el título, el extracto y el contenido de publicaciones arbitrarias al pasar IDs de publicaciones en el campo modulaImages al editar una galería.

El plugin Mail Mint para WordPress es vulnerable a inyección SQL ciega a través de los endpoints de la API &amp;#39;forms&amp;#39;, &amp;#39;automation&amp;#39;, &amp;#39;email/templates&amp;#39; y &amp;#39;contacts/import/tutorlms/map&amp;#39; en todas las versiones hasta la 1.19.2, inclusive. Esto se debe a un escape insuficiente en los parámetros &amp;#39;order-by&amp;#39;, &amp;#39;order-type&amp;#39; y &amp;#39;selectedCourses&amp;#39; suministrados por el usuario y a la falta de preparación suficiente en las consultas SQL existentes. Esto hace posible que atacantes autenticados, con acceso de nivel de administrador y superior, añadan consultas SQL adicionales a consultas ya existentes.

El plugin Super Page Cache para WordPress es vulnerable a cross-site scripting almacenado a través del Registro de Actividad en todas las versiones hasta la 5.2.2, inclusive, debido a una sanitización de entrada y un escape de salida insuficientes. Esto permite a atacantes no autenticados inyectar scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.

El plugin Truelysell Core para WordPress es vulnerable a una escalada de privilegios en versiones inferiores o iguales a 1.8.7. Esto se debe a una validación insuficiente del parámetro user_role durante el registro de usuarios. Esto permite a atacantes no autenticados crear cuentas con privilegios elevados, incluyendo acceso de administrador.