Vulnerabilidades

TYPO3 es un sistema de administración de contenidos web de código abierto basado en PHP y publicado bajo la licencia GNU GPL. Se ha detectado que la nueva función de TYPO3 versión v11 que permite a usuarios crear y compartir enlaces profundos en la interfaz de usuario del backend es vulnerable a un ataque de tipo cross-site-request-forgery. El impacto es el mismo que se describe en TYPO3-CORE-SA-2020-006 (CVE-2020-11069). Sin embargo, no se limita al mismo contexto del sitio y no requiere que el atacante esté autenticado. En el peor de los casos, el atacante podría crear una nueva cuenta de usuario administrador para comprometer el sistema. Para llevar a cabo un ataque con éxito, un atacante debe engañar a su víctima para que acceda a un sistema comprometido. La víctima debe tener una sesión activa en el backend de TYPO3 en ese momento. La siguiente configuración de la cookie Same-Site en $GLOBALS[TYPO3_CONF_VARS][BE][cookieSameSite] son requeridas para que un ataque tenga éxito: SameSite=strict: malicioso evil.example.org invocando la aplicación TYPO3 en good.example.org y SameSite=lax o none: malicioso evil.com invocando la aplicación TYPO3 en example.org. Actualice su instancia a la versión 11.5.0 de TYPO3 que soluciona el problema descrito

Composer es un administrador de dependencias de código abierto para el lenguaje PHP. En las versiones afectadas, unos usuarios de Windows que ejecutan Composer para instalar dependencias no confiables están sujetos a una inyección de comandos y deben actualizar su versión de Composer. Otros Sistemas Operativos y WSL no están afectados. El problema ha sido resuelto en Composer versiones 1.10.23 y 2.1.9. No se presentan soluciones para este problema

El servidor FTL (tibftlserver) y las imágenes Docker que contienen los componentes tibftlserver de TIBCO Software Inc. TIBCO ActiveSpaces - Community Edition, TIBCO ActiveSpaces - Developer Edition, TIBCO ActiveSpaces - Enterprise Edition, TIBCO FTL - Community Edition, TIBCO FTL - Developer Edition, TIBCO FTL - Enterprise Edition, TIBCO eFTL - Community Edition, TIBCO eFTL - Developer Edition, y TIBCO eFTL - Enterprise Edition. contienen una vulnerabilidad que teóricamente permite a un usuario de FTL no administrativo y autenticado engañar a los componentes afectados para que creen certificados ilegítimos. Estos certificados generados de forma maliciosa pueden ser usados para habilitar ataques de tipo man-in-the-middle o para escalar privilegios de forma que el usuario malicioso tenga privilegios administrativos. Las versiones afectadas son TIBCO ActiveSpaces - Community Edition de TIBCO Software Inc.: versiones 4.3.0, 4.4.0, 4.5.0, 4.6.0, 4.6.1 y 4.6.2, TIBCO ActiveSpaces - Developer Edition: versiones 4.3.0, 4.4.0, 4.5.0, 4.6.0, 4.6.1 y 4.6. 2, TIBCO ActiveSpaces - Enterprise Edition: versiones 4.3.0, 4.4.0, 4.5.0, 4.6.0, 4.6.1 y 4.6.2, TIBCO FTL - Community Edition: versiones 6.2.0, 6.3.0, 6.3.1, 6.4.0, 6.5.0, 6.6.0, 6.6.1 y 6.7.0, TIBCO FTL - Developer Edition: versiones 6. 2.0, 6.3.0, 6.3.1, 6.4.0, 6.5.0, 6.6.0, 6.6.1 y 6.7.0, TIBCO FTL - Enterprise Edition: versiones 6.2.0, 6.3.0, 6. 3.1, 6.4.0, 6.5.0, 6.6.0, 6.6.1 y 6.7.0, TIBCO eFTL - Community Edition: versiones 6.2.0, 6.3.0, 6.3.1, 6.4.0, 6.5. 0, 6.6.0, 6.6.1 y 6.7.0, TIBCO eFTL - Developer Edition: versiones 6.2.0, 6.3.0, 6.3.1, 6.4.0, 6.5.0, 6.6.0, 6.6. 1 y 6.7.0, y TIBCO eFTL - Enterprise Edition: versiones 6.2.0, 6.3.0, 6.3.1, 6.4.0, 6.5.0, 6.6.0, 6.6.1 y 6.7.0

Grafana es una plataforma de visualización de datos de código abierto. En las versiones afectadas los usuarios no autenticados y autenticados son capaces de visualizar la snapshot con la clave de base de datos más baja accediendo a las rutas literales /dashboard/snapshot/:key, o /api/snapshots/:key. Si el ajuste de configuración "public_mode" de la snapshot se establece en true (frente a default o false), unos usuarios no autenticados pueden eliminar la snapshot con la clave de base de datos más baja al acceder a la ruta literal /api/snapshots-delete/:deleteKey. Independientemente de la configuración de "public_mode" de la snapshot, unos usuarios autenticados pueden eliminar la snapshot con la clave de base de datos más baja accediendo a las rutas literales: /api/snapshots/:key, o /api/snapshots-delete/:deleteKey. La combinación de borrado y visualización permite un recorrido completo mediante todos los datos de las snapshots mientras se produce una pérdida total de datos de las mismas. Este problema se ha resuelto en las versiones 8.1.6 y 7.5.11. Si por alguna razón no puede actualizar puede usar un proxy inverso o similar para bloquear el acceso a las rutas literales /api/snapshots/:key, /api/snapshots-delete/:deleteKey, /dashboard/snapshot/:key, y /api/snapshots/:key. No tienen ninguna función normal y pueden ser deshabilitadas sin efectos secundarios

** NO SOPORTADO CUANDO SE ASIGNÓ ** En ARCHIBUS Web Central 21.3.3.815 (una versión de 2014), la aplicación web en /archibus/login.axvw asigna un token de sesión que podría estar ya en uso por otro usuario. Por lo tanto, era posible acceder a la aplicación a través de un usuario cuyas credenciales no se conocían, sin que los probadores intentaran modificar la lógica de la aplicación. También es posible establecer el valor del token de sesión, del lado del cliente, simplemente haciendo una solicitud GET no autenticada a la página de inicio y añadiendo un valor arbitrario al campo JSESSIONID. La aplicación, tras el inicio de sesión, no asigna un nuevo token, continuando con el insertado, como identificador de toda la sesión. Esto está solucionado en todas las versiones recientes, como la versión 26. NOTA: Esta vulnerabilidad sólo afecta a los productos que ya no son soportados por el mantenedor. La versión 21.3 dejó de recibir soporte oficialmente a finales de 2020

Omikron MultiCash Desktop versión 4.00.008.SP5 es basado en un mecanismo de autenticación del lado del cliente. Cuando un usuario se conecta a la aplicación, la validez de la contraseña es comprobada localmente. Toda la comunicación con el backend de la base de datos es realizada por el mismo medio técnico. En consecuencia, un atacante puede adjuntar un depurador al proceso o crear un parche que manipule el comportamiento de la función de inicio de sesión. Cuando la función siempre devuelve el valor de éxito (correspondiente a una contraseña correcta), un atacante puede iniciar sesión con cualquier cuenta que desee, como la cuenta administrativa de la aplicación

Una vulnerabilidad de falsificación de solicitud de sitio cruzado (CSRF) en Wowza Streaming Engine a través de 4.8.11+5 permite a un atacante remoto eliminar una cuenta de usuario a través del parámetro userName de /enginemanager/server/user/delete.htm. La aplicación no implementa un token CSRF para la solicitud GET. Este problema se resolvió en la versión 4.8.14 de Wowza Streaming Engine

Wowza Streaming Engine versiones hasta 4.8.11+5, podría permitir a un atacante remoto autenticado agotar los recursos del sistema de archivos por medio del parámetro vhost /enginemanager/server/vhost/historical.jsdata. Esto es debido a una administración insuficiente de los recursos disponibles del sistema de archivos. Un atacante podría explotar esta vulnerabilidad mediante la sección de monitorización de hosts virtuales al solicitar datos históricos de hosts virtuales al azar y agotando los recursos disponibles del sistema de archivos. Una explotación con éxito podría permitir al atacante causar errores en la base de datos y causar que el dispositivo no responda a la administración basada en la web. (Es requerida la intervención manual para liberar los recursos del sistema de archivos y devolver la aplicación a un estado operativo)

** NO SOPORTADO CUANDO SE ASIGNÓ ** En ARCHIBUS Web Central 21.3.3.815 (una versión de 2014), el XSS se produce en /archibus/dwr/call/plaincall/workflow.runWorkflowRule.dwr porque los datos recibidos como entrada de los clientes se vuelven a incluir dentro de la respuesta HTTP devuelta por la aplicación sin la validación adecuada. De este modo, si se introduce como entrada código HTML o código ejecutable del lado del cliente (por ejemplo, Javascript), el flujo de ejecución esperado podría verse alterado. Esto está solucionado en todas las versiones recientes, como la versión 26. NOTA: Esta vulnerabilidad sólo afecta a los productos que ya no están soportados por el mantenedor. La versión 21.3 dejó de recibir soporte oficialmente a finales de 2020.

** NO SOPORTADO CUANDO SE ASIGNÓ ** ARCHIBUS Web Central 21.3.3.815 (una versión de 2014) no valida correctamente las solicitudes de acceso a los datos y la funcionalidad en estos puntos finales afectados: /archibus/schema/ab-edit-users.axvw, /archibus/schema/ab-data-dictionary-table.axvw, /archibus/schema/ab-schema-add-field.axvw, /archibus/schema/ab-core/views/process-navigator/ab-my-user-profile.axvw. Al no verificar los permisos de acceso a los recursos, permite a un potencial atacante ver páginas no permitidas. En concreto, se ha detectado que cualquier usuario autentificado puede llegar a la consola administrativa de gestión de usuarios solicitando directamente el acceso a la página a través de la URL. Esto permite a un usuario malicioso modificar los perfiles de todos los usuarios, elevar cualquier privilegio a administrativo o crear o eliminar cualquier tipo de usuario. También es posible modificar los correos electrónicos de otros usuarios, a través de una mala configuración del parámetro nombre de usuario, en la página de perfil de usuario. Esto está solucionado en todas las versiones recientes, como la versión 26. NOTA: Esta vulnerabilidad sólo afecta a los productos que ya no están soportados por el mantenedor. La versión 21.3 dejó de recibir soporte oficialmente a finales de 2020.

Una vulnerabilidad de denegación de servicio en la gema apollo_upload_server Ruby en GitLab CE/EE todas las versiones a partir de la 11.9 antes de la 14.0.9, todas las versiones a partir de la 14.1 antes de la 14.1.4, y todas las versiones a partir de la 14.2 antes de la 14.2.2 permite a un atacante denegar el acceso a todos los usuarios a través de peticiones especialmente diseñadas al middleware apollo_upload_server

En todas las versiones de GitLab CE/EE desde la versión 8.0, los tokens de acceso creados como parte de la suplantación de un usuario por parte del administrador no se borran al final de la suplantación, lo que puede conllevar a una divulgación innecesaria de información confidencial