Vulnerabilidades

Stirling-PDF es una aplicación web alojada localmente que realiza diversas operaciones en archivos PDF. En versiones anteriores a la 2.5.2, el endpoint /API/v1/convert/markdown/pdf extrae entradas ZIP proporcionadas por el usuario sin comprobaciones de ruta. Cualquier usuario autenticado puede escribir archivos fuera del directorio de trabajo temporal previsto, lo que lleva a la escritura arbitraria de archivos con los privilegios del usuario del proceso de Stirling-PDF (stirlingpdfuser). Esto puede sobrescribir archivos escribibles y comprometer la integridad de los datos, con un impacto adicional dependiendo de las rutas escribibles. El problema se solucionó en la versión 2.5.2.

En el kernel de Linux, la siguiente vulnerabilidad ha sido resuelta:<br /> <br /> net: añadir límite de recursión de xmit a las funciones xmit de túnel<br /> <br /> Las funciones xmit de túnel (iptunnel_xmit, ip6tunnel_xmit) carecen de su propio límite de recursión. Cuando un dispositivo bond en modo broadcast tiene interfaces GRE tap como esclavos, y esos túneles GRE enrutan de vuelta a través del bond, el tráfico multicast/broadcast desencadena una recursión infinita entre bond_xmit_broadcast() y ip_tunnel_xmit()/ip6_tnl_xmit(), causando un desbordamiento de pila del kernel.<br /> <br /> El XMIT_RECURSION_LIMIT (8) existente en la ruta sin qdisc no es suficiente porque la recursión del túnel implica búsquedas de ruta y salida IP completa, consumiendo mucha más pila por nivel. Use un límite inferior de 4 (IP_TUNNEL_RECURSION_LIMIT) para prevenir el desbordamiento.<br /> <br /> Añada detección de recursión usando las funciones auxiliares dev_xmit_recursion directamente en iptunnel_xmit() y ip6tunnel_xmit() para cubrir todas las rutas de túnel IPv4/IPv6, incluyendo los túneles encapsulados UDP (VXLAN, Geneve, etc.).<br /> <br /> Mueva las funciones auxiliares dev_xmit_recursion de net/core/dev.h al encabezado público include/linux/netdevice.h para que puedan ser usadas por el código del túnel.<br /> <br /> BUG: KASAN: pila-fuera-de-límites en blake2s.constprop.0+0xe7/0x160<br /> Escritura de tamaño 32 en la dirección ffff88810033fed0 por la tarea kworker/0:1/11<br /> Cola de trabajo: mld mld_ifc_work<br /> Rastro de Llamada:<br /> <br /> __build_flow_key.constprop.0 (net/ipv4/route.c:515)<br /> ip_rt_update_pmtu (net/ipv4/route.c:1073)<br /> iptunnel_xmit (net/ipv4/ip_tunnel_core.c:84)<br /> ip_tunnel_xmit (net/ipv4/ip_tunnel.c:847)<br /> gre_tap_xmit (net/ipv4/ip_gre.c:779)<br /> dev_hard_start_xmit (net/core/dev.c:3887)<br /> sch_direct_xmit (net/sched/sch_generic.c:347)<br /> __dev_queue_xmit (net/core/dev.c:4802)<br /> bond_dev_queue_xmit (drivers/net/bonding/bond_main.c:312)<br /> bond_xmit_broadcast (drivers/net/bonding/bond_main.c:5279)<br /> bond_start_xmit (drivers/net/bonding/bond_main.c:5530)<br /> dev_hard_start_xmit (net/core/dev.c:3887)<br /> __dev_queue_xmit (net/core/dev.c:4841)<br /> ip_finish_output2 (net/ipv4/ip_output.c:237)<br /> ip_output (net/ipv4/ip_output.c:438)<br /> iptunnel_xmit (net/ipv4/ip_tunnel_core.c:86)<br /> gre_tap_xmit (net/ipv4/ip_gre.c:779)<br /> dev_hard_start_xmit (net/core/dev.c:3887)<br /> sch_direct_xmit (net/sched/sch_generic.c:347)<br /> __dev_queue_xmit (net/core/dev.c:4802)<br /> bond_dev_queue_xmit (drivers/net/bonding/bond_main.c:312)<br /> bond_xmit_broadcast (drivers/net/bonding/bond_main.c:5279)<br /> bond_start_xmit (drivers/net/bonding/bond_main.c:5530)<br /> dev_hard_start_xmit (net/core/dev.c:3887)<br /> __dev_queue_xmit (net/core/dev.c:4841)<br /> ip_finish_output2 (net/ipv4/ip_output.c:237)<br /> ip_output (net/ipv4/ip_output.c:438)<br /> iptunnel_xmit (net/ipv4/ip_tunnel_core.c:86)<br /> ip_tunnel_xmit (net/ipv4/ip_tunnel.c:847)<br /> gre_tap_xmit (net/ipv4/ip_gre.c:779)<br /> dev_hard_start_xmit (net/core/dev.c:3887)<br /> sch_direct_xmit (net/sched/sch_generic.c:347)<br /> __dev_queue_xmit (net/core/dev.c:4802)<br /> bond_dev_queue_xmit (drivers/net/bonding/bond_main.c:312)<br /> bond_xmit_broadcast (drivers/net/bonding/bond_main.c:5279)<br /> bond_start_xmit (drivers/net/bonding/bond_main.c:5530)<br /> dev_hard_start_xmit (net/core/dev.c:3887)<br /> __dev_queue_xmit (net/core/dev.c:4841)<br /> mld_sendpack<br /> mld_ifc_work<br /> process_one_work<br /> worker_thread<br />

En el kernel de Linux, la siguiente vulnerabilidad ha sido resuelta:<br /> <br /> netfilter: xt_IDLETIMER: rechazar la reutilización de rev0 de etiquetas de temporizador ALARM<br /> <br /> Las reglas de la revisión 0 de IDLETIMER reutilizan temporizadores existentes por etiqueta y siempre llaman a mod_timer() en timer-&amp;gt;timer.<br /> <br /> Si la etiqueta fue creada primero por la revisión 1 con XT_IDLETIMER_ALARM, el objeto utiliza semántica de temporizador de alarma y timer-&amp;gt;timer nunca se inicializa. Reutilizar ese objeto de la revisión 0 causa mod_timer() en una timer_list no inicializada, lo que activa advertencias de debugobjects y un posible pánico cuando panic_on_warn=1.<br /> <br /> Solucione esto rechazando la inserción de reglas de la revisión 0 cuando un temporizador existente con la misma etiqueta es de tipo ALARM.

En el kernel de Linux, la siguiente vulnerabilidad ha sido resuelta:<br /> <br /> net/sched: teql: corrige la desreferenciación de puntero NULL en iptunnel_xmit en la transmisión del esclavo TEQL<br /> <br /> teql_master_xmit() llama a netdev_start_xmit(skb, slave) para transmitir a través de dispositivos esclavos, pero no actualiza skb-&amp;gt;dev al dispositivo esclavo de antemano.<br /> <br /> Cuando un túnel gretap es un esclavo TEQL, la ruta de transmisión llega a iptunnel_xmit() que guarda dev = skb-&amp;gt;dev (todavía apuntando al maestro teql0) y luego llama a iptunnel_xmit_stats(dev, pkt_len). Esta función hace:<br /> <br /> get_cpu_ptr(dev-&amp;gt;tstats)<br /> <br /> Dado que teql_master_setup() no establece dev-&amp;gt;pcpu_stat_type en NETDEV_PCPU_STAT_TSTATS, la pila de red central nunca asigna tstats para teql0, por lo que dev-&amp;gt;tstats es NULL. get_cpu_ptr(NULL) calcula NULL + __per_cpu_offset[cpu], lo que resulta en un fallo de página.<br /> <br /> ERROR: no se puede manejar el fallo de página para la dirección: ffff8880e6659018<br /> #PF: acceso de escritura de supervisor en modo kernel<br /> #PF: código_de_error(0x0002) - página no presente<br /> PGD 68bc067 P4D 68bc067 PUD 0<br /> Oops: Oops: 0002 [#1] SMP KASAN PTI<br /> RIP: 0010:iptunnel_xmit (./include/net/ip_tunnels.h:664 net/ipv4/ip_tunnel_core.c:89)<br /> Traza de Llamadas:<br /> <br /> ip_tunnel_xmit (net/ipv4/ip_tunnel.c:847)<br /> __gre_xmit (net/ipv4/ip_gre.c:478)<br /> gre_tap_xmit (net/ipv4/ip_gre.c:779)<br /> teql_master_xmit (net/sched/sch_teql.c:319)<br /> dev_hard_start_xmit (net/core/dev.c:3887)<br /> sch_direct_xmit (net/sched/sch_generic.c:347)<br /> __dev_queue_xmit (net/core/dev.c:4802)<br /> neigh_direct_output (net/core/neighbour.c:1660)<br /> ip_finish_output2 (net/ipv4/ip_output.c:237)<br /> __ip_finish_output.part.0 (net/ipv4/ip_output.c:315)<br /> ip_mc_output (net/ipv4/ip_output.c:369)<br /> ip_send_skb (net/ipv4/ip_output.c:1508)<br /> udp_send_skb (net/ipv4/udp.c:1195)<br /> udp_sendmsg (net/ipv4/udp.c:1485)<br /> inet_sendmsg (net/ipv4/af_inet.c:859)<br /> __sys_sendto (net/socket.c:2206)<br /> <br /> Solucione esto estableciendo skb-&amp;gt;dev = slave antes de llamar a netdev_start_xmit(), para que las funciones de transmisión del túnel vean el dispositivo esclavo correcto con tstats correctamente asignados.

En el kernel de Linux, la siguiente vulnerabilidad ha sido resuelta:<br /> <br /> netfilter: nf_tables: incrementar incondicionalmente set-&amp;gt;nelems antes de la inserción<br /> <br /> En caso de que el conjunto esté lleno, se publica un nuevo elemento que luego se elimina sin esperar el período de gracia de RCU, mientras que un lector de RCU ya puede estar recorriéndolo.<br /> <br /> Para abordar este problema, añadir la transacción del elemento incluso si el conjunto está lleno, pero alternar la bandera set_full para informar -ENFILE de modo que la ruta de aborto deshaga de forma segura el conjunto a su estado anterior.<br /> <br /> En cuanto a las actualizaciones de elementos, decrementar set-&amp;gt;nelems para restaurarlo.<br /> <br /> Una solución más simple es llamar a synchronize_rcu() en la ruta de error.<br /> Sin embargo, con un gran lote añadiendo elementos a un conjunto ya agotado, esto podría causar una ralentización notable de dichos lotes.

En el kernel de Linux, la siguiente vulnerabilidad ha sido resuelta:<br /> <br /> macvlan: observar un período de gracia RCU en la ruta de error de macvlan_common_newlink()<br /> <br /> valis informó que una condición de carrera todavía ocurre después de mi parche anterior.<br /> <br /> macvlan_common_newlink() podría haber hecho visible a @dev antes de detectar un error, y su llamador llamará directamente a free_netdev(dev).<br /> <br /> Debemos respetar un período RCU, ya sea en macvlan o en la pila de red central.<br /> <br /> Después de añadir un mdelay(1000) temporal en macvlan_forward_source_one() para abrir la ventana de carrera, la reproducción de valis fue:<br /> <br /> ip link add p1 type veth peer p2<br /> ip link set address 00:00:00:00:00:20 dev p1<br /> ip link set up dev p1<br /> ip link set up dev p2<br /> ip link add mv0 link p2 type macvlan mode source<br /> <br /> (ip link add invalid% link p2 type macvlan mode source macaddr add 00:00:00:00:00:20 &amp;amp;) ; sleep 0.5 ; ping -c1 -I p1 1.2.3.4<br /> PING 1.2.3.4 (1.2.3.4): 56 data bytes<br /> RTNETLINK answers: Invalid argument<br /> <br /> BUG: KASAN: slab-uso después de liberación en macvlan_forward_source<br /> (drivers/net/macvlan.c:408 drivers/net/macvlan.c:444)<br /> Read of size 8 at addr ffff888016bb89c0 by task e/175<br /> <br /> CPU: 1 UID: 1000 PID: 175 Comm: e Not tainted 6.19.0-rc8+ #33 NONE<br /> Hardware name: QEMU Standard PC (i440FX + PIIX, 1996), BIOS 1.14.0-2 04/01/2014<br /> Call Trace:<br /> <br /> dump_stack_lvl (lib/dump_stack.c:123)<br /> print_report (mm/kasan/report.c:379 mm/kasan/report.c:482)<br /> ? macvlan_forward_source (drivers/net/macvlan.c:408 drivers/net/macvlan.c:444)<br /> kasan_report (mm/kasan/report.c:597)<br /> ? macvlan_forward_source (drivers/net/macvlan.c:408 drivers/net/macvlan.c:444)<br /> macvlan_forward_source (drivers/net/macvlan.c:408 drivers/net/macvlan.c:444)<br /> ? tasklet_init (kernel/softirq.c:983)<br /> macvlan_handle_frame (drivers/net/macvlan.c:501)<br /> <br /> Allocated by task 169:<br /> kasan_save_stack (mm/kasan/common.c:58)<br /> kasan_save_track (./arch/x86/include/asm/current.h:25<br /> mm/kasan/common.c:70 mm/kasan/common.c:79)<br /> __kasan_kmalloc (mm/kasan/common.c:419)<br /> __kvmalloc_node_noprof (./include/linux/kasan.h:263 mm/slub.c:5657<br /> mm/slub.c:7140)<br /> alloc_netdev_mqs (net/core/dev.c:12012)<br /> rtnl_create_link (net/core/rtnetlink.c:3648)<br /> rtnl_newlink (net/core/rtnetlink.c:3830 net/core/rtnetlink.c:3957<br /> net/core/rtnetlink.c:4072)<br /> rtnetlink_rcv_msg (net/core/rtnetlink.c:6958)<br /> netlink_rcv_skb (net/netlink/af_netlink.c:2550)<br /> netlink_unicast (net/netlink/af_netlink.c:1319 net/netlink/af_netlink.c:1344)<br /> netlink_sendmsg (net/netlink/af_netlink.c:1894)<br /> __sys_sendto (net/socket.c:727 net/socket.c:742 net/socket.c:2206)<br /> __x64_sys_sendto (net/socket.c:2209)<br /> do_syscall_64 (arch/x86/entry/syscall_64.c:63 arch/x86/entry/syscall_64.c:94)<br /> entry_SYSCALL_64_after_hwframe (arch/x86/entry/entry_64.S:131)<br /> <br /> Freed by task 169:<br /> kasan_save_stack (mm/kasan/common.c:58)<br /> kasan_save_track (./arch/x86/include/asm/current.h:25<br /> mm/kasan/common.c:70 mm/kasan/common.c:79)<br /> kasan_save_free_info (mm/kasan/generic.c:587)<br /> __kasan_slab_free (mm/kasan/common.c:287)<br /> kfree (mm/slub.c:6674 mm/slub.c:6882)<br /> rtnl_newlink (net/core/rtnetlink.c:3845 net/core/rtnetlink.c:3957<br /> net/core/rtnetlink.c:4072)<br /> rtnetlink_rcv_msg (net/core/rtnetlink.c:6958)<br /> netlink_rcv_skb (net/netlink/af_netlink.c:2550)<br /> netlink_unicast (net/netlink/af_netlink.c:1319 net/netlink/af_netlink.c:1344)<br /> netlink_sendmsg (net/netlink/af_netlink.c:1894)<br /> __sys_sendto (net/socket.c:727 net/socket.c:742 net/socket.c:2206)<br /> __x64_sys_sendto (net/socket.c:2209)<br /> do_syscall_64 (arch/x86/entry/syscall_64.c:63 arch/x86/entry/syscall_64.c:94)<br /> entry_SYSCALL_64_after_hwframe (arch/x86/entry/entry_64.S:131)

En el kernel de Linux, la siguiente vulnerabilidad ha sido resuelta:<br /> <br /> perf: Corrección de la condición de carrera entre __perf_event_overflow() y perf_remove_from_context()<br /> <br /> Asegurar que __perf_event_overflow() se ejecute con las IRQ deshabilitadas para todas las cadenas de llamadas posibles. Específicamente, los eventos de software pueden terminar ejecutándolo con solo la preemption deshabilitada.<br /> <br /> Esto abre una condición de carrera frente a perf_event_exit_event() y funciones relacionadas que liberarán varias cosas que la ruta de desbordamiento espera que estén presentes, como el programa BPF.

Free5GC es un proyecto de código abierto de la Linux Foundation para redes centrales móviles de quinta generación (5G). En versiones anteriores a la 1.4.2, el UDM convierte incorrectamente una solicitud 400 Bad Request descendente (del UDR) en un error 500 Internal Server Error al manejar solicitudes DELETE con un parámetro de ruta &amp;#39;supi&amp;#39; vacío. Esto expone el comportamiento interno de manejo de errores y dificulta a los clientes distinguir entre errores del lado del cliente y fallos del lado del servidor. Cuando un cliente envía una solicitud DELETE con un &amp;#39;supi&amp;#39; vacío (por ejemplo, barras dobles // en la ruta URL), el UDM reenvía la solicitud malformada al UDR, el cual devuelve correctamente un 400. Sin embargo, el UDM propaga esto como 500 SYSTEM_FAILURE en lugar de devolver el error 400 apropiado al cliente. Esto viola las mejores prácticas de la API REST para operaciones DELETE. El problema ha sido parcheado en la versión 1.4.2.

Free5GC es un proyecto de código abierto de la Linux Foundation para redes centrales móviles de quinta generación (5G). Las versiones anteriores a la 1.4.2 son vulnerables a un pánico de procedimiento causado por una desreferenciación de puntero nulo (Nil Pointer Dereference) en el endpoint /sdm-subscriptions. Un atacante remoto puede causar que el servicio UDM entre en pánico y falle enviando una solicitud POST manipulada al endpoint /sdm-subscriptions con una ruta URL malformada que contenga secuencias de salto de ruta (../) y una carga útil JSON grande. La función DataChangeNotificationProcedure en notifier.go intenta acceder a un puntero nulo sin la validación adecuada, lo que provoca un fallo completo del servicio con el error &amp;#39;runtime error: invalid memory address or nil pointer dereference&amp;#39;. La explotación resultaría en la interrupción de la funcionalidad del UDM hasta su recuperación mediante un reinicio. Este problema ha sido solucionado en la versión 1.4.2.

Free5GC es un proyecto de código abierto de la Linux Foundation para redes centrales móviles de quinta generación (5G). Las versiones anteriores a la 1.4.2 son vulnerables a la inyección de bytes nulos en los parámetros de ruta de URL. Un atacante remoto puede inyectar bytes nulos (codificados en URL como %00) en el parámetro de ruta supi de la API Nudm_SubscriberDataManagement del UDM. Esto causa un fallo en el análisis de URL en el paquete net/url de Go con el error &amp;#39;invalid control character in URL&amp;#39;, lo que resulta en un error 500 Internal Server Error. Esta vulnerabilidad de inyección de bytes nulos puede ser explotada para ataques de denegación de servicio. Cuando el parámetro supi contiene caracteres nulos, el UDM intenta construir una URL para UDR que incluye estos caracteres de control. El analizador de URL de Go los rechaza, lo que provoca que la solicitud falle con 500 en lugar de validar correctamente la entrada y devolver 400 Bad Request. Este problema ha sido solucionado en la versión 1.4.2.

exactyl es un panel de gestión de juegos y sistema de facturación personalizable. Commits después de 025e8dbb0daaa04054276bda814d922cf4af58da y antes de e28edb204e80efab628d1241198ea4f079779cfd inyectan objetos del lado del servidor en JavaScript del lado del cliente a través de resources/views/templates/wrapper.blade.php. Usar {!! json_encode(...) !!} sin escapar y sin banderas de codificación segura permite que los valores de cadena salgan del contexto de JavaScript y sean interpretados como HTML/JS por el navegador. Si algún campo serializado contiene contenido controlado por el atacante, como un nombre de usuario, nombre de visualización o valor de configuración del sitio, una carga útil maliciosa ejecutará un script arbitrario para cualquier usuario que vea la página (XSS DOM almacenado). Este problema ha sido parcheado por el commit e28edb204e80efab628d1241198ea4f079779cfd.

Mesop es un framework de UI basado en Python que permite a los usuarios construir aplicaciones web. En las versiones 1.2.2 e inferiores, un endpoint web explícito dentro de la infraestructura del módulo de pruebas ai/ ingiere directamente cadenas de código Python no confiables incondicionalmente sin medidas de autenticación, lo que resulta en una Ejecución Remota de Código sin Restricciones estándar. Cualquier individuo capaz de enrutar lógica HTTP a este bloque de servidor obtendrá derechos explícitos de comando de la máquina anfitriona. El paquete de código base de IA incluye un servidor Flask de depuración ligero dentro de ai/sandbox/wsgi_app.py. La ruta /exec-py acepta cargas útiles de cadenas en bruto codificadas en base_64 dentro del parámetro code, evaluadas nativamente por una solicitud web POST básica. Lo guarda rápidamente en la ruta lógica del sistema operativo y lo inyecta recursivamente usando execute_module(module_path...). Este problema ha sido solucionado en la versión 1.2.3.