Vulnerabilidades

Lectura fuera de límites en CSS en Google Chrome anterior a 146.0.7680.165 permitió a un atacante remoto realizar un acceso a memoria fuera de límites a través de una página HTML manipulada. (Gravedad de seguridad de Chromium: Alta)

Desbordamiento de búfer en el montón en WebAudio en Google Chrome anterior a la versión 146.0.7680.165 permitió a un atacante remoto realizar una escritura de memoria fuera de límites mediante una página HTML manipulada. (Gravedad de seguridad de Chromium: Alta)

bcrypt-ruby es un enlace Ruby para el algoritmo de hash de contraseñas bcrypt() de OpenBSD. Antes de la versión 3.1.22, un desbordamiento de entero en la implementación Java de BCrypt para JRuby puede causar cero iteraciones en el bucle de fortalecimiento. Las aplicaciones afectadas deben estar configurando el costo en 31 para que esto ocurra. La implementación de JRuby de bcrypt-ruby ('BCrypt.java') calcula el recuento de rondas de fortalecimiento de clave como un entero con signo de 32 bits. Cuando 'cost=31' (el máximo permitido por la gema), el desbordamiento de entero con signo hace que el recuento de rondas se vuelva negativo, y el bucle de fortalecimiento ejecuta cero iteraciones. Esto colapsa bcrypt de 2^31 rondas de fortalecimiento exponencial de clave a una computación en tiempo efectivamente constante — solo quedan la configuración inicial de clave EksBlowfish y la fase final de cifrado 64x. El hash resultante parece válido ('$2a$31$...') y se verifica correctamente a través de 'checkpw', haciendo que la debilidad sea invisible para la aplicación. Este problema se activa solo cuando se usa cost=31 o al verificar un hash '$2a$31$'. Este problema ha sido solucionado en la versión 3.1.22. Como solución alternativa, configure el costo en algo menor que 31.

Se ha descubierto una vulnerabilidad de seguridad en bolo-blog ?? 2.6.4. El elemento afectado es una función desconocida del archivo /console/article/ del componente Gestor de Títulos de Artículo. Realizar una manipulación del argumento articleTitle resulta en cross site scripting. Es posible iniciar el ataque remotamente. El exploit ha sido publicado y puede ser utilizado para ataques. El proyecto fue informado del problema tempranamente a través de un informe de incidencias, pero aún no ha respondido.

Se ha identificado una debilidad en SourceCodester Patients Waiting Area Queue Management System 1.0. El elemento afectado es la función ValidateToken del archivo /PHP/api_patient_checkin.php del componente Patient Check-In Module. La ejecución de una manipulación puede llevar a una autorización indebida. Es posible lanzar el ataque de forma remota. El exploit ha sido puesto a disposición del público y podría ser utilizado para ataques.

Dasel es una herramienta de línea de comandos y biblioteca para consultar, modificar y transformar estructuras de datos. A partir de la versión 3.0.0 y antes de la versión 3.3.1, el lector YAML de Dasel permite a un atacante que puede proporcionar YAML para su procesamiento desencadenar un consumo extremo de CPU y memoria. El problema reside en la propia implementación `UnmarshalYAML` de la biblioteca, que resuelve manualmente los nodos alias siguiendo recursivamente los punteros `yaml.Node.Alias` sin ningún presupuesto de expansión, eludiendo el límite de expansión de alias incorporado de go-yaml v4. La versión 3.3.2 contiene un parche para el problema.

WPGraphQL proporciona una API GraphQL para sitios de WordPress. Antes de la versión 2.10.0, una falla de autorización en updateComment permite a un usuario autenticado con bajos privilegios (incluyendo un rol personalizado con cero capacidades) cambiar el estado de moderación de su propio comentario (por ejemplo, a APROBAR) sin la capacidad moderate_comments. Esto puede eludir los flujos de trabajo de moderación y permitir que usuarios no confiables autoaprueben contenido. La versión 2.10.0 contiene un parche.<br /> <br /> ### Detalles<br /> <br /> En WPGraphQL 2.9.1 (probado), la autorización para updateComment se basa en el propietario, no en el campo:<br /> <br /> - plugins/wp-graphql/src/Mutation/CommentUpdate.php:92 permite a los moderadores.<br /> - plugins/wp-graphql/src/Mutation/CommentUpdate.php:99:99 también permite al propietario del comentario, incluso si carece de la capacidad de moderación.<br /> - plugins/wp-graphql/src/Data/CommentMutation.php:94:94 mapea el estado de entrada de GraphQL directamente a comment_approved de WordPress.<br /> - plugins/wp-graphql/src/Mutation/CommentUpdate.php:120:120 persiste ese valor a través de wp_update_comment.<br /> - plugins/wp-graphql/src/Type/Enum/CommentStatusEnum.php:22:22 expone los estados de moderación (APROBAR, EN ESPERA, CORREO NO DESEADO, PAPELERA).<br /> <br /> Esto significa que un propietario no moderador puede enviar el estado durante la actualización y hacer la transición del estado de moderación.<br /> <br /> ### PoC<br /> <br /> Probado en wp-env local (Docker) con WPGraphQL 2.9.1.<br /> <br /> 1. Iniciar entorno:<br /> <br /> npm install<br /> npm run wp-env start<br /> <br /> 2. Ejecutar este PoC:<br /> <br /> ```<br /> npm run wp-env run cli -- wp eval &amp;#39;<br /> add_role("no_caps","No Caps",[]);<br /> $user_id = username_exists("poc_nocaps");<br /> if ( ! $user_id ) {<br /> $user_id = wp_create_user("poc_nocaps","Passw0rd!","poc_nocaps@example.com");<br /> }<br /> $user = get_user_by("id",$user_id);<br /> $user-&amp;gt;set_role("no_caps");<br /> <br /> $post_id = wp_insert_post([<br /> "post_title" =&amp;gt; "PoC post",<br /> "post_status" =&amp;gt; "publish",<br /> "post_type" =&amp;gt; "post",<br /> "comment_status" =&amp;gt; "open",<br /> ]);<br /> <br /> $comment_id = wp_insert_comment([<br /> "comment_post_ID" =&amp;gt; $post_id,<br /> "comment_content" =&amp;gt; "pending comment",<br /> "user_id" =&amp;gt; $user_id,<br /> "comment_author" =&amp;gt; $user-&amp;gt;display_name,<br /> "comment_author_email" =&amp;gt; $user-&amp;gt;user_email,<br /> "comment_approved" =&amp;gt; "0",<br /> ]);<br /> <br /> wp_set_current_user($user_id);<br /> <br /> $result = graphql([<br /> "query" =&amp;gt; "mutation U(\$id:ID!){ updateComment(input:{id:\$id,status:APPROVE}){ success comment{ databaseId status } } }",<br /> "variables" =&amp;gt; [ "id" =&amp;gt; (string)$comment_id ],<br /> ]);<br /> <br /> echo wp_json_encode([<br /> "role_caps" =&amp;gt; array_keys(array_filter((array)$user-&amp;gt;allcaps)),<br /> "status" =&amp;gt; $result["data"]["updateComment"]["comment"]["status"] ?? null,<br /> "db_comment_approved" =&amp;gt; get_comment($comment_id)-&amp;gt;comment_approved ?? null,<br /> "comment_id" =&amp;gt; $comment_id<br /> ]);<br /> &amp;#39;<br /> ```<br /> <br /> 3. Observar resultado:<br /> <br /> - role_caps está vacío (o no tiene moderate_comments)<br /> - la mutación devuelve status: APROBAR<br /> - el valor de la base de datos se convierte en comment_approved = 1<br /> <br /> ### Impacto<br /> <br /> Esto es un bypass de autorización / un problema de control de acceso roto en las transiciones de estado de moderación de comentarios. Cualquier despliegue que utilice mutaciones de comentarios de WPGraphQL donde los usuarios con bajos privilegios puedan hacer comentarios está impactado. La política de moderación puede ser eludida autoaprobando contenido.

llama.cpp es una inferencia de varios modelos LLM en C/C++. Antes de b7824, una vulnerabilidad de desbordamiento de entero en la función `ggml_nbytes` permite a un atacante eludir la validación de memoria al crear un archivo GGUF con dimensiones de tensor específicas. Esto hace que `ggml_nbytes` devuelva un tamaño significativamente menor al requerido (por ejemplo, 4MB en lugar de Exabytes), lo que lleva a un desbordamiento de búfer basado en montículo cuando la aplicación procesa posteriormente el tensor. Esta vulnerabilidad permite una posible ejecución remota de código (RCE) a través de corrupción de memoria. b7824 contiene una corrección.

Vulnerabilidad en Spring Cloud al sustituir el parámetro de perfil de una solicitud realizada al Spring Cloud Config Server configurado para el sistema de archivos nativo como backend, porque era posible acceder a archivos fuera de los directorios de búsqueda configurados. Este problema afecta a Spring Cloud: desde 3.1.X antes de 3.1.13, desde 4.1.X antes de 4.1.9, desde 4.2.X antes de 4.2.3, desde 4.3.X antes de 4.3.2, desde 5.0.X antes de 5.0.2.

Una vulnerabilidad fue identificada en SourceCodester Online Catering Reservation 1.0. Afectada es una función desconocida del archivo /search.php. Tal manipulación del argumento rcode conduce a inyección SQL. El ataque puede ser realizado desde remoto. El exploit está disponible públicamente y podría ser usado.

El plugin Woocommerce Custom Product Addons Pro para WordPress es vulnerable a ejecución remota de código en todas las versiones hasta la 5.4.1, inclusive, a través de la fórmula de precios personalizada eval() en la función process_custom_formula() dentro de includes/process/price.php. Esto se debe a una sanitización y validación insuficientes de los valores de campo enviados por el usuario antes de pasarlos a la función eval() de PHP. El método sanitize_values() elimina las etiquetas HTML pero no escapa las comillas simples ni previene la inyección de código PHP. Esto hace posible que atacantes no autenticados ejecuten código arbitrario en el servidor al enviar un valor manipulado a un campo de texto de WCPA configurado con una fórmula de precios personalizada (pricingType: &amp;#39;custom&amp;#39; con {this.value}).

El plugin Contest Gallery para WordPress es vulnerable a una omisión de autenticación que conduce a la toma de control de la cuenta de administrador en todas las versiones hasta la 28.1.5, inclusive. Esto se debe a que el gestor de confirmación de correo electrónico en `users-registry-check-after-email-or-pin-confirmation.php` utiliza la cadena de correo electrónico del usuario en una cláusula `WHERE ID = %s` en lugar del ID de usuario numérico, combinado con un punto final de inicio de sesión basado en clave no autenticado en `ajax-functions-frontend.php`. Cuando la configuración no predeterminada `RegMailOptional=1` está habilitada, un atacante puede registrarse con un correo electrónico manipulado que comienza con el ID de usuario objetivo (p. ej., `1poc@example.test`), activar el flujo de confirmación para sobrescribir la `user_activation_key` del administrador a través de la coerción de enteros de MySQL, y luego usar la acción AJAX `post_cg1l_login_user_by_key` para autenticarse como administrador sin credenciales. Esto hace posible que atacantes no autenticados tomen el control de cualquier cuenta de administrador de WordPress y obtengan control total del sitio.