Vulnerabilidades

ViewVC es una interfaz de navegador para repositorios de control de versiones CVS y Subversion. Las versiones anteriores a 1.2.3 y 1.1.30 son vulnerables a cross-site scripting. El impacto de esta vulnerabilidad se ve mitigado por la necesidad de que un atacante tenga privilegios de confirmación en un repositorio de Subversion expuesto por una instancia de ViewVC que de otro modo sería confiable. El vector de ataque involucra archivos con nombres no seguros (nombres que, cuando se incrustan en una secuencia HTML, harían que el navegador ejecute código no deseado), que a su vez pueden ser difíciles de crear. Los usuarios deben actualizar al menos a la versión 1.2.3 (si usan una versión 1.2.x de ViewVC) o 1.1.30 (si usan una versión 1.1.x). ViewVC 1.0.x ya no es compatible, por lo que los usuarios de ese linaje de versiones deben implementar una de las siguientes soluciones. Los usuarios pueden editar sus plantillas de vista ViewVC EZT para escapar manualmente de la ruta cambiada en HTML "copiar desde rutas" durante el renderizado. Ubique en el archivo `revision.ezt` de su conjunto de plantillas las referencias a esas rutas modificadas y envuélvalas con `[formato "html"]` y `[end]`. Para la mayoría de los usuarios, eso significa que las referencias a `[changes.copy_path]` se convertirán en `[format "html"][changes.copy_path][end]`. (Este workaround debe revertirse después de actualizar a una versión parcheada de ViewVC; de lo contrario, los nombres de "ruta de copia" aparecerán doblemente como escape).

KubePi es un panel de k8s. La función de autenticación jwt de KubePi hasta la versión 1.6.2 utiliza Jwtsigkeys codificadas, lo que da como resultado las mismas Jwtsigkeys para todos los proyectos en línea. Esto significa que un atacante puede falsificar cualquier token jwt para hacerse cargo de la cuenta de administrador de cualquier proyecto en línea. Además, pueden utilizar el administrador para hacerse cargo del clúster k8s de la empresa de destino. `session.go`, el uso de JwtSigKey codificado, permite a un atacante usar este valor para falsificar tokens jwt de forma arbitraria. La JwtSigKey es confidencial y no debe estar codificada en el código. La vulnerabilidad se ha solucionado en 1.6.3. En el parche, la clave JWT se especifica en app.yml. Si el usuario lo deja en blanco, se utilizará una clave aleatoria. No existen workarounds aparte de la actualización.

Http4s es una interfaz de Scala para servicios HTTP. A partir de la versión 0.1.0 y anteriores a las versiones 0.21.34, 0.22.15, 0.23.17 y 1.0.0-M38, los analizadores de encabezado `User-Agent` y `Server` son susceptibles a un error fatal en ciertas entradas. En http4s, los encabezados modelados se analizan de forma diferida, por lo que esto solo se aplica a los servicios que solicitan explícitamente estos encabezados escritos. Las correcciones se publicaron en 0.21.34, 0.22.15, 0.23.17 y 1.0.0-M38. Como workaround, utilice la interfaz de encabezado con tipos débiles.

Lectura fuera de los límites en el repositorio de GitHub vim/vim, afectando a las versiones anteriores a la 9.0.1143.

Uniswap Universal Router anterior a 1.1.0 maneja mal la reentrada. Esto habría permitido el robo de fondos.

El paquete `sanitize-svg`, un pequeño "sanitizador" de SVG para evitar ataques de cross-site scripting, utiliza un patrón de lista de denegación para desinfectar los SVG y evitar XSS. Al hacerlo, se detectaron etiquetas literales `

CKEditor Integration UI agrega soporte para editar páginas wiki usando CKEditor. Antes de las versiones 1.64.3, el documento `CKEditor.HTMLConverter` carecía de protección contra Cross Site Request Forgery (CSRF), lo que permitía ejecutar macros con los derechos del usuario actual. Si se engañara a un usuario privilegiado para que ejecutara una solicitud GET a este documento con ciertos parámetros (por ejemplo, a través de una imagen con una URL correspondiente incrustada en un comentario o mediante una redirección), esto permitiría la ejecución remota arbitraria de código y el atacante podría obtener derechos, acceder a información privada o afectar la disponibilidad de la wiki. El problema se solucionó en la versión 1.64.3 de CKEditor Integration. Esto también se ha parcheado en la versión de CKEditor Integration que se incluye a partir de XWiki 14.6 RC1. No existen workarounds para esto aparte de actualizar CKEditor Integration a una versión fija.

go-ipld-prime es una implementación de las interfaces de especificaciones de datos vinculados interplanetarios (IPLD), que incluye implementaciones de códec de IPLD para CBOR y JSON y herramientas para operaciones básicas en objetos IPLD. La codificación de datos que contiene un nodo de tipo Bytes pasará un token de Bytes al codificador JSON, lo que entrará en pánico porque no espera recibir tokens de Bytes. Dicha codificación debe tratarse como un error, ya que JSON simple no debería poder codificar bytes. Esto solo afecta los usos del códec "json". `dag-json` no se ve afectado. El uso de `json` como decodificador no se ve afectado. Este problema se solucionó en v0.19.0. Como workaround, se puede preferir el códec `dag-json`, que tiene la capacidad de codificar bytes.

Validación incorrecta de los parámetros del complemento de alerta de script en Apache DolphinScheduler para evitar la vulnerabilidad de ejecución remota de comandos. Este problema afecta a Apache DolphinScheduler versión 3.0.1 y versiones anteriores; versión 3.1.0 y versiones anteriores. Este ataque solo lo pueden realizar usuarios autenticados que puedan iniciar sesión en DS.

*** Pendiente de traducción *** Rejected reason: DO NOT USE THIS CANDIDATE NUMBER. ConsultIDs: none. Reason: This candidate was in a CNA pool that was not assigned to any issues during 2022. Notes: none.

*** Pendiente de traducción *** Rejected reason: DO NOT USE THIS CANDIDATE NUMBER. ConsultIDs: none. Reason: This candidate was in a CNA pool that was not assigned to any issues during 2022. Notes: none.

Inyección de código en el repositorio de GitHub lirantal/daloradius de la rama maestra.