Vulnerabilidades

La vulnerabilidad de Control inadecuado del nombre de fichero para la declaración include/require en un programa PHP ('inclusión remota de ficheros PHP') en ThemeREX Melania permite la inclusión local de ficheros PHP. Este problema afecta a Melania: desde n/a hasta 2.5.0.

PinchTab es un servidor HTTP independiente que otorga a los agentes de IA control directo sobre un navegador Chrome. Las versiones 0.8.2 e inferiores tienen una vulnerabilidad SSRF ciega en el endpoint /download. La función validateDownloadURL() solo verifica la URL inicial proporcionada por el usuario, pero el navegador Chromium incrustado puede seguir redirecciones/navegaciones controladas por el atacante a direcciones de red internas después de la validación. La explotación requiere security.allowDownload=true (deshabilitado por defecto), lo que limita el impacto en el mundo real. Una página controlada por el atacante puede usar redirecciones de JavaScript o solicitudes de recursos para hacer que el navegador alcance servicios internos desde el host de PinchTab, lo que resulta en una condición de falsificación de petición del lado del servidor (SSRF) ciega contra servicios solo internos. El problema ha sido parcheado en la versión 0.8.3.

pypdf es una biblioteca PDF de Python puro, gratuita y de código abierto. Las versiones anteriores a la 6.9.1 permiten a un atacante crear un PDF malicioso que provoca tiempos de ejecución prolongados y/o un gran uso de memoria. La explotación requiere acceder a un flujo basado en arrays con muchas entradas. Este problema ha sido solucionado en la versión 6.9.1.

Frigate es un grabador de video en red (NVR) con detección local de objetos en tiempo real para cámaras IP. Las versiones anteriores a la 0.17.0-beta1 permiten a cualquier usuario autenticado cambiar su propia contraseña sin verificar la contraseña actual a través del endpoint /users/{username}/password. Cambiar una contraseña no invalida los tokens JWT existentes y no hay validación de la fortaleza de la contraseña. Si un atacante obtiene un token de sesión válido (por ejemplo, a través de un JWT expuesto accidentalmente, una cookie robada, XSS, un dispositivo comprometido o el rastreo por HTTP), puede cambiar la contraseña de la víctima y obtener control permanente de la cuenta. Dado que los cambios de contraseña no invalidan los tokens JWT existentes, los secuestros de sesión persisten incluso después de un restablecimiento de contraseña. Además, la falta de validación de la fortaleza de la contraseña expone las cuentas a ataques de fuerza bruta. Este problema se ha resuelto en la versión 0.17.0-beta1.

Vulnerabilidad de neutralización incorrecta de la entrada durante la generación de páginas web ('cross-site scripting') en Vasilis Triantafyllou Special Box for Content permite XSS basado en DOM. Este problema afecta a Special Box for Content: desde n/d hasta 1.

El plugin RockPress para WordPress es vulnerable a Autorización Faltante en todas las versiones hasta la 1.0.17, inclusive. Esto se debe a la falta de comprobaciones de capacidad en múltiples acciones AJAX (rockpress_import, rockpress_import_status, rockpress_last_import, rockpress_reset_import y rockpress_check_services) combinado con la exposición del nonce del plugin a todos los usuarios autenticados a través de un script de administración encolado incondicionalmente. El plugin encola el script 'rockpress-admin' en todas las páginas de administración (incluyendo profile.php) sin ninguna restricción de página o capacidad, y el nonce para la acción 'rockpress-nonce' se pasa a este script a través de wp_localize_script. Dado que los manejadores AJAX solo verifican este nonce y no comprueban current_user_can(), cualquier usuario autenticado, incluyendo los Suscriptores, puede extraer el nonce del código fuente HTML de cualquier página de administración y usarlo para activar importaciones, restablecer datos de importación (eliminando opciones), verificar la conectividad del servicio y leer información del estado de la importación. Esto hace posible que atacantes autenticados, con acceso de nivel de Suscriptor y superior, activen operaciones de importación que consumen muchos recursos, restablezcan datos de seguimiento de importación y realicen comprobaciones de conexión del sistema que deberían estar restringidas a los administradores.

Filament es una colección de componentes full-stack para el desarrollo acelerado de Laravel. Las versiones 4.0.0 a 4.8.4 y 5.0.0 a 5.3.4 tienen dos resumidores de tabla de Filament (Rango, Valores) que renderizan valores brutos de la base de datos sin escapar HTML. Si hay una falta de validación para los datos en las columnas que usan estos resumidores, un atacante podría insertar HTML / JavaScript malicioso y lograr XSS almacenado que se ejecuta para los usuarios que ven la tabla con esos resumidores. Este problema ha sido parcheado en las versiones 4.8.5 y 5.3.5.

Free5GC es un proyecto de código abierto de la Linux Foundation para redes centrales móviles de quinta generación (5G). En versiones anteriores a la 1.4.2, el UDM convierte incorrectamente un 400 Bad Request descendente (del UDR) en un 500 Internal Server Error al manejar solicitudes PATCH con un parámetro de ruta supi vacío. Además, el UDM traduce incorrectamente el método PATCH a PUT al reenviar al UDR, lo que indica un problema arquitectónico más profundo. Esto filtra el comportamiento interno de manejo de errores, dificultando a los clientes distinguir entre errores del lado del cliente y fallos del lado del servidor. El problema ha sido parcheado en la versión 1.4.2.

PJSIP es una biblioteca de comunicación multimedia de código abierto y gratuita escrita en C. Las versiones 2.16 e inferiores tienen una lectura de montículo fuera de límites en cascada en pjsip_multipart_parse(). Después de la coincidencia de la cadena de límite, curptr se avanza más allá del delimitador sin verificar que no ha alcanzado el final del búfer. Esto permite que se lean 1-2 bytes de memoria de montículo adyacente. Todas las aplicaciones que procesan mensajes SIP entrantes con cuerpos multipart o contenido SDP están potencialmente afectadas. Este problema se resuelve en la versión 2.17.

FileRise es un gestor de archivos web / servidor WebDAV autoalojado. En versiones anteriores a la 3.8.0, una vulnerabilidad de autenticación faltante en el endpoint deleteShareLink permite a cualquier usuario no autenticado eliminar enlaces de archivos compartidos arbitrarios proporcionando solo el token de compartición, causando denegación de servicio al acceso a archivos compartidos. El endpoint POST /api/file/deleteShareLink.php llama a FileController::deleteShareLink() que no realiza ninguna autenticación, autorización o validación CSRF antes de eliminar un enlace de compartición. Cualquier cliente HTTP anónimo puede destruir enlaces de compartición. Este problema está solucionado en la versión 3.8.0.

FileRise es un gestor de archivos web autoalojado / servidor WebDAV. En versiones anteriores a la 3.8.0, el endpoint de carga WebDAV acepta cualquier extensión de archivo incluyendo .phtml, .php5, .htaccess, y otros tipos ejecutables del lado del servidor, eludiendo la validación de nombre de archivo impuesta por la ruta de carga regular. En despliegues no predeterminados que carecen de la protección LocationMatch de Apache, esto lleva a la ejecución remota de código. Cuando los archivos se cargan a través de WebDAV, el método createFile() en FileRiseDirectory.php y el método put() en FileRiseFile.php aceptan el nombre de archivo directamente del cliente WebDAV sin ninguna validación. En contraste, el endpoint de carga regular en UploadModel::upload() valida los nombres de archivo contra REGEX_FILE_NAME. Este problema está solucionado en la versión 3.8.0.

FastGPT es una plataforma de creación de agentes de IA. En las versiones 4.14.8.3 e inferiores, el flujo de trabajo fastgpt-preview-image.yml es vulnerable a la ejecución de código arbitrario y a la exfiltración de secretos por cualquier colaborador externo. Utiliza pull_request_target (que se ejecuta con acceso a los secretos del repositorio) pero extrae código del fork del autor de la solicitud de extracción, luego construye y envía imágenes Docker utilizando Dockerfiles controlados por el atacante. Esto también permite un ataque a la cadena de suministro a través del registro de contenedores de producción. Un parche no estaba disponible en el momento de la publicación.