Vulnerabilidades

Cross site scripting (XSS): almacenado en el repositorio de GitHub alfio-event/alf.io anterior a Alf.io 2.0-M4-2301.

Validación de entrada incorrecta en el repositorio de GitHub publify/publify antes de 9.2.10.

Almacenamiento inseguro de información confidencial en el repositorio de GitHub publify/publify antes de 9.2.10.

Desbordamiento de enteros o Wraparound en el repositorio de GitHub publify/publify antes de 9.2.10.

Vulnerabilidad de cross site scripting (XSS) reflejado en CRM Perks Forms – WordPress Form Builder <= 1.1.0 ver.

Control de acceso roto en Betheme theme <= 26.6.1 en WordPress.

Cuando se utiliza Apache Shiro anterior a 1.11.0 junto con Spring Boot 2.6+, una solicitud HTTP especialmente manipulada puede provocar una omisión de autenticación. La omisión de autenticación se produce cuando Shiro y Spring Boot utilizan diferentes técnicas de coincidencia de patrones. Tanto Shiro como Spring Boot < 2.6 por defecto utiliza la coincidencia de patrones de estilo Ant. Mitigación: actualice a Apache Shiro 1.11.0 o establezca el siguiente valor de configuración de Spring Boot: `spring.mvc.pathmatch.matching-strategy = ant_path_matcher`

Autorización incorrecta en el repositorio de GitHub firefly-iii/firefly-iii anterior a 5.8.0.

Inyección de código en el repositorio de GitHub pyload/pyload anterior a 0.5.0b3.dev31.

Tiki anterior a 24.2 permite la inyección de objetos PHP lib/importer/tikiimporter_blog_wordpress.php por parte de un administrador debido a una llamada de deseriaización.

Tiki anterior a 24.1, cuando la función Spreadsheets está habilitada, permite la inyección de objetos PHP lib/sheet/grid.php debido a una llamada de deserialización.

Netdata es una opción de código abierto para monitoreo y resolución de problemas de infraestructura en tiempo real. Cada agente Netdata tiene un GUID DE MÁQUINA generado automáticamente. Se genera cuando el agente se inicia por primera vez y se guarda en el disco, de modo que persistirá durante los reinicios y los reinicios. Cualquiera que tenga acceso a un Agente de Netdata tiene acceso a su MACHINE_GUID. La transmisión es una característica que permite que un Agente de Netdata actúe como padre de otros Agentes de Netdata (hijos), descargando a los hijos de diversas funciones (mayor retención de datos, ML, monitoreo de salud, etc.) que ahora pueden ser manejadas por el Agente principal. La configuración se realiza a través de `stream.conf`. En el lado de los padres, los usuarios configuran en `stream.conf` una clave API (cualquier UUID aleatorio puede servir) para proporcionar una configuración común para todos los hijos que usan esta clave API y por configuración GUID DE MÁQUINA para personalizar la configuración para cada hijo. La forma en que se implementó esto permitió a un atacante usar un MACHINE_GUID válido como clave API. Esto afecta a todos los usuarios que exponen sus agentes Netdata (hijos) a usuarios que no son de confianza y también exponen a los mismos usuarios a los padres de los agentes Netdata que agregan datos de todos estos hijos. El problema se solucionó en: Netdata Agent v1.37 (estable) y Netdata Agent v1.36.0-409 (todas las noches). Como workaround, no habilite la transmisión por streaming de forma predeterminada. Si ha habilitado esto anteriormente, puede deshabilitarlo. Limitar el acceso al puerto del Agente destinatario a conexiones secundarias confiables puede mitigar el impacto de esta vulnerabilidad.