Vulnerabilidades

Discourse es una plataforma de discusión de código abierto. Antes de las versiones 2025.12.2, 2026.1.1 y 2026.2.0, el plugin 'discourse-policy' permite a cualquier usuario autenticado interactuar con políticas en publicaciones que no tienen permiso para ver. El 'PolicyController' carga publicaciones por ID sin verificar el acceso del usuario actual, permitiendo a los miembros del grupo de políticas aceptar/rechazar políticas en publicaciones en categorías privadas o mensajes privados (PMs) que no pueden ver y a cualquier usuario autenticado enumerar qué IDs de publicaciones tienen políticas adjuntas a través de respuestas de error diferenciadas (revelación de información). El problema se ha parcheado en las versiones 2025.12.2, 2026.1.1 y 2026.2.0 al añadir una verificación 'guardian.can_see?(@post)' en la acción previa 'set_post', asegurando que la visibilidad de la publicación se verifica antes de que se procese cualquier acción de política. Como solución alternativa, deshabilitar el plugin discourse-policy ('policy_enabled = false') elimina la vulnerabilidad. No hay otra solución alternativa sin actualizar.

Discourse es una plataforma de discusión de código abierto. Antes de las versiones 2025.12.2, 2026.1.1 y 2026.2.0, una vulnerabilidad IDOR en el endpoint de elementos del directorio permite a cualquier usuario, incluidos los usuarios anónimos, recuperar valores de campos de usuario privados para todos los usuarios en el directorio. El parámetro 'user_field_ids' en 'DirectoryItemsController#index' acepta IDs de campos de usuario arbitrarios sin comprobaciones de autorización, eludiendo las restricciones de visibilidad ('show_on_profile' / 'show_on_user_card') que se aplican en otros lugares (por ejemplo, 'UserCardSerializer' a través de 'Guardian#allowed_user_field_ids'). Un atacante puede solicitar 'GET /directory_items.json?period=all&user_field_ids=' con cualquier ID de campo privado y recibir el valor de ese campo para cada usuario en la respuesta del directorio. Esto permite la exfiltración masiva de datos de usuario privados como números de teléfono, direcciones u otros campos personalizados sensibles que los administradores han configurado explícitamente como no públicos. El problema está parcheado en las versiones 2025.12.2, 2026.1.1 y 2026.2.0 filtrando 'user_field_ids' contra 'UserField.public_fields' para usuarios que no son personal antes de construir el mapa de campos personalizados. Como solución alternativa, los administradores del sitio pueden eliminar datos sensibles de los campos de usuario privados, o deshabilitar el directorio de usuarios a través de la configuración del sitio 'enable_user_directory'.

VideoLAN VLC para Android anterior a la versión 3.7.0 contiene una vulnerabilidad de salto de ruta en el enrutamiento del servidor de acceso remoto para el endpoint autenticado GET /download. El parámetro de consulta 'file' se concatena en una ruta del sistema de archivos bajo el directorio de descarga configurado sin comprobaciones de canonicalización o contención de directorio, permitiendo a un atacante autenticado con accesibilidad de red al servidor de acceso remoto solicitar archivos fuera del directorio previsto. El impacto está limitado por el sandbox de la aplicación Android y las restricciones de almacenamiento, lo que normalmente limita la exposición al almacenamiento interno de la aplicación y al almacenamiento externo específico de la aplicación.

Discourse es una plataforma de discusión de código abierto. Antes de las versiones 2025.12.2, 2026.1.1 y 2026.2.0, cuando la configuración del sitio 'patreon_webhook_secret' está en blanco, un atacante puede falsificar firmas de webhook válidas calculando un HMAC-MD5 con una cadena vacía como clave. Dado que el cuerpo de la solicitud es conocido por el remitente, el atacante puede producir una firma coincidente y enviar cargas útiles de webhook arbitrarias. Esto permite la creación, modificación o eliminación no autorizada de datos de promesas de Patreon y el desencadenamiento de la sincronización de mecenas a grupo. Esta vulnerabilidad está parcheada en las versiones 2025.12.2, 2026.1.1 y 2026.2.0. La corrección rechaza las solicitudes de webhook cuando el secreto de webhook no está configurado, evitando la falsificación de firmas con una clave vacía. Como solución alternativa, configure la configuración del sitio 'patreon_webhook_secret' con un valor secreto fuerte y no vacío. Cuando el secreto no está vacío, un atacante no puede falsificar firmas válidas sin conocer el secreto.

Gestión de sesión inadecuada en el D-Link Wireless N 300 ADSL2+ Modem Router DSL-124 ME_1.00 permite a los atacantes ejecutar un ataque de secuestro de sesión mediante la suplantación de la dirección IP de un usuario autenticado.

Existe una vulnerabilidad de cross-site scripting (XSS) reflejado en el script de backend register.php de PuneethReddyHC Event Management System 1.0. El parámetro POST mobile no se valida correctamente y se devuelve en la respuesta HTTP sin sanitización, permitiendo a un atacante inyectar y ejecutar código JavaScript arbitrario en el navegador de la víctima.

Deserialización de datos no confiables en la clase LanguageModel de Flair desde las versiones 0.4.1 hasta las más recientes son vulnerables a ejecución de código arbitrario al cargar un modelo malicioso.

Una vulnerabilidad en Google Cloud Vertex AI Workbench desde el 21/7/2025 hasta el 30/1/2026 permite a un atacante exfiltrar tokens de acceso válidos de Google Cloud de otros usuarios mediante el abuso de un script de inicio incorporado.<br /> <br /> Todas las instancias posteriores al 30 de enero de 2026 han sido parcheadas para protegerse de esta vulnerabilidad. No se requiere ninguna acción del usuario para esto.

Discourse es una plataforma de discusión de código abierto. Antes de las versiones 2025.12.2, 2026.1.1 y 2026.2.0, varios puntos finales de webhook (SendGrid, Mailjet, Mandrill, Postmark, SparkPost) en el &amp;#39;WebhooksController&amp;#39; aceptaban solicitudes sin un token de autenticación válido cuando no se había configurado ningún token. Esto permitía a atacantes no autenticados falsificar cargas útiles de webhook e inflar artificialmente las puntuaciones de rebote de los usuarios, lo que podría provocar la desactivación de correos electrónicos legítimos de usuarios. El punto final de Mailpace no tenía ninguna validación de token. A partir de las versiones 2025.12.2, 2026.1.1 y 2026.2.0, todos los puntos finales de webhook rechazan las solicitudes con una respuesta 406 cuando no hay un token de autenticación configurado. Como solución alternativa, asegúrese de que los tokens de autenticación de webhook estén configurados para todas las integraciones de proveedores de correo electrónico en la configuración del sitio (p. ej., &amp;#39;sendgrid_verification_key&amp;#39;, &amp;#39;mailjet_webhook_token&amp;#39;, &amp;#39;postmark_webhook_token&amp;#39;, &amp;#39;sparkpost_webhook_token&amp;#39;). No hay una solución alternativa actual para Mailpace antes de obtener esta corrección.

Cross-Site Scripting (XSS) Reflejado en la plataforma web A3factura, en el parámetro &amp;#39;customerVATNumber&amp;#39;, en el endpoint &amp;#39;a3factura-app.wolterskluwer.es/#/incomes/salesDeliveryNotes&amp;#39;, lo que podría permitir a un atacante ejecutar código arbitrario en el navegador de la víctima.

Cross-Site Scripting Reflejado (XSS) en la plataforma web A3factura, en el parámetro &amp;#39;customerName&amp;#39;, en el endpoint &amp;#39;a3factura-app.wolterskluwer.es/#/incomes/salesInvoices&amp;#39;, lo que podría permitir a un atacante ejecutar código arbitrario en el navegador de la víctima.

Cross-Site Scripting Reflejado (XSS) en la plataforma web A3factura, en el parámetro &amp;#39;name&amp;#39;, parámetro &amp;#39;name&amp;#39;, en el endpoint &amp;#39;a3factura-app.wolterskluwer.es/#/incomes/customers&amp;#39;, lo que podría permitir a un atacante ejecutar código arbitrario en el navegador de la víctima.