Vulnerabilidades

** EN DISPUTA ** Se ha detectado un problema en las definiciones de caracteres de la especificación Unicode hasta la versión 14.0. La especificación permite que un adversario produzca identificadores de código fuente, tales como nombres de funciones, utilizando homoglifos que son visualmente idénticos a un identificador de destino. Los adversarios pueden aprovechar esto para inyectar código a través de definiciones de identificadores adversos en dependencias de software ascendente invocadas de forma engañosa en software descendente. NOTA: el Consorcio Unicode ofrece el siguiente enfoque alternativo para presentar este problema. Se observa un problema en la naturaleza del texto internacional que puede afectar a las aplicaciones que implementan la compatibilidad con el estándar Unicode (todas las versiones). A menos que se mitigue, un adversario podría producir identificadores de código fuente utilizando caracteres homogéneos que son visualmente idénticos pero distintos a un identificador de destino. De esta manera, un adversario podría inyectar definiciones de identificadores adversos en el software de entrada que no son detectados por los revisores humanos y son invocados engañosamente en el software de salida. El Consorcio Unicode ha documentado esta clase de vulnerabilidad de seguridad en su documento, Informe Técnico de Unicode #36, Consideraciones de Seguridad de Unicode. El Consorcio Unicode también proporciona orientación sobre las mitigaciones para esta clase de problemas en la Norma Técnica de Unicode #39, Mecanismos de Seguridad de Unicode.

** EN DISPUTA** Se ha detectado un problema en el algoritmo bidireccional de la especificación Unicode hasta la versión 14.0. Permite la reordenación visual de los caracteres a través de secuencias de control, lo que puede ser utilizado para crear código fuente que se traduce en una lógica diferente a la ordenación lógica de los tokens ingeridos por los compiladores e intérpretes. Los adversarios pueden aprovechar esto para codificar el código fuente de los compiladores que aceptan Unicode, de manera que las vulnerabilidades objetivo se introduzcan de forma invisible para los revisores humanos. NOTA: el Consorcio Unicode ofrece el siguiente enfoque alternativo para presentar esta preocupación. Se observa un problema en la naturaleza del texto internacional que puede afectar a las aplicaciones que implementan la compatibilidad con el estándar Unicode y el algoritmo bidireccional Unicode (todas las versiones). Debido al comportamiento de la visualización del texto cuando éste incluye caracteres de izquierda a derecha y de derecha a izquierda, el orden visual de los tokens puede ser diferente de su orden lógico. Además, los caracteres de control necesarios para cumplir los requisitos del texto bidireccional pueden ofuscar aún más el orden lógico de las fichas. A menos que se mitigue, un adversario podría elaborar el código fuente de tal manera que el orden de los tokens percibido por los revisores humanos no coincida con el que será procesado por un compilador/interpretador/etc. El Consorcio Unicode ha documentado esta clase de vulnerabilidad en su documento, Informe Técnico de Unicode #36, Consideraciones de Seguridad de Unicode. El Consorcio Unicode también proporciona orientación sobre las mitigaciones para esta clase de problemas en la Norma Técnica de Unicode #39, Mecanismos de Seguridad de Unicode, y en el Anexo de la Norma de Unicode #31, Identificador de Unicode y Sintaxis de Patrones. Además, la especificación BIDI permite a las aplicaciones adaptar la implementación de manera que pueda mitigar la reordenación visual engañosa en el texto del programa; véase HL4 en el Anexo #9 del Estándar Unicode, Algoritmo Bidireccional Unicode.

Las versiones afectadas de Atlassian Jira Server y Data Center permiten a los atacantes remotos autenticados pero no administradores editar las configuraciones de los lotes de correo electrónico a través de una vulnerabilidad de Autorización Impropia en el punto final /secure/admin/ConfigureBatching!default.jspa. Las versiones afectadas son anteriores a la versión 8.20.7

Office Server Document Converter versiones V7.2MR4 y anteriores y versiones V7.1MR7 y anteriores, permiten a un atacante remoto no autenticado realizar un ataque de tipo XML External Entity (XXE) para causar una condición de denegación de servicio (DoS) al procesar un documento XML especialmente diseñado

Office Server Document Converter versiones V7.2MR4 y anteriores y versiones V7.1MR7 y anteriores, permiten a un atacante remoto no autenticado llevar a cabo un ataque de tipo XML External Entity (XXE) para causar una condición de denegación de servicio (DoS) a los otros servidores al procesar un documento XML especialmente diseñado

Se detectó un problema en la función packageCmd en shenzhim aaptjs versión 1.3.1, que permite a atacantes ejecutar código arbitrario por medio de los parámetros filePath

Se detectó un problema en la función remove en shenzhim aaptjs versión 1.3.1, que permite a atacantes ejecutar código arbitrario por medio de los parámetros de filePath

Se detectó un problema en la función crunch en shenzhim aaptjs versión 1.3.1, que permite a atacantes ejecutar código arbitrario por medio de los parámetros filePath

Se ha detectado un problema en la función singleCrunch de shenzhim aaptjs versión 1.3.1, que permite a atacantes ejecutar código arbitrario por medio de los parámetros filePath

Se detectó un problema en la función de add en shenzhim aaptjs versión 1.3.1, que permite a atacantes ejecutar código arbitrario por medio del parámetro filePath

Se detectó un problema en la función list en shenzhim aaptjs versión 1.3.1, que permite a atacantes ejecutar código arbitrario por medio de los parámetros filePath

Se detectó un problema en la función de volcado en shenzhim aaptjs versión 1.3.1, que permite a atacantes ejecutar código arbitrario por medio de los parámetros filePath