Vulnerabilidades

pimcore es vulnerable a un ataque de tipo Cross-Site Request Forgery (CSRF)

Las características JNDI de Apache Log4j2 2.0-beta9 hasta 2.15.0 (excluyendo las versiones de seguridad 2.12.2, 2.12.3 y 2.3.1) utilizadas en la configuración, los mensajes de registro y los parámetros no protegen contra LDAP controlado por un atacante y otros puntos finales relacionados con JNDI. Un atacante que pueda controlar los mensajes de registro o los parámetros de los mensajes de registro puede ejecutar código arbitrario cargado desde servidores LDAP cuando la sustitución de la búsqueda de mensajes está habilitada. A partir de la versión 2.15.0 de log4j, este comportamiento ha sido deshabilitado por defecto. A partir de la versión 2.16.0 (junto con las versiones 2.12.2, 2.12.3 y 2.3.1), esta funcionalidad se ha eliminado por completo. Tenga en cuenta que esta vulnerabilidad es específica de log4j-core y no afecta a log4net, log4cxx u otros proyectos de Apache Logging Services

Next.js es un framework de React. En las versiones de Next.js anteriores a 12.0.5 o 11.1.3, las direcciones URL no válidas o malformadas podrían conllevar a un bloqueo del servidor. Para verse afectado por este problema, el despliegue debe usar versiones de Next.js superiores a 11.1.0 y anteriores a 12.0.5, Node.js versiones posteriores a 15.0.0, y el siguiente inicio o un servidor personalizado. Los despliegues en Vercel no están afectados, junto con entornos similares en los que las peticiones no válidas son filtradas antes de llegar a Next.js. Las versiones 12.0.5 y 11.1.3 contienen parches para este problema

Etherpad es un editor colaborativo en tiempo real. En las versiones anteriores a 1.8.16, un atacante puede diseñar un archivo "*.etherpad" que, cuando es importado, puede permitirle conseguir privilegios de administrador para la instancia de Etherpad. Esto, a su vez, puede ser usado para instalar un plugin malicioso de Etherpad que puede ejecutar código arbitrario (incluyendo comandos del sistema). Para obtener privilegios, el atacante debe ser capaz de desencadenar la eliminación del estado de "express-session" o esperar a que se limpie el estado de la "sesión express". El núcleo de Etherpad no elimina ningún estado de "express-session", por lo que los únicos ataques conocidos requieren un plugin que pueda eliminar el estado de la sesión o un proceso de limpieza personalizado (como una tarea cron que elimine los registros antiguos de "sessionstorage:*"). El problema ha sido corregido en la versión 1.8.16. Si los usuarios no pueden actualizar a la versión 1.8.16 o instalar los parches manualmente, se presentan varias soluciones disponibles. Los usuarios pueden configurar sus proxies inversos para que rechacen las peticiones a "/p/*/import", lo que bloqueará todas las importaciones, no sólo las de "*.etherpad"; limitar a todos los usuarios el acceso de sólo lectura; y/o evitar la reutilización de los valores de las cookies "express_sid" que hacen referencia al estado de la sesión express eliminada. Puede encontrarse información más detallada y estrategias generales de mitigación en el aviso de seguridad de GitHub

Delta Electronics CNCSoft versiones 1.01.30 y anteriores, son vulnerables a un desbordamiento del búfer en la región stack de la memoria, que puede permitir a un atacante ejecutar código arbitrario

Mattermost versiones 6.0.2 y anteriores, no sanean suficientemente la contraseña del usuario en los registros de auditoría cuando falla la creación del usuario

kimai2 es vulnerable a un ataque de tipo Cross-Site Request Forgery (CSRF)

OpUtils en Zoho ManageEngine OpManager 12.5 antes de 125490 maneja mal la autenticación para algunos directorios de auditoría

Doctrine DBAL versiones 3.x anteriores a 3.1.4, permite una inyección de SQL. Es probable que el escape de las entradas de desplazamiento y longitud para la generación de una cláusula LIMIT no sea convertida en un número entero, permitiendo que se produzca una inyección SQL si los desarrolladores de aplicaciones pasan entradas de usuario sin escape al DBAL QueryBuilder o a cualquier otra API que use en última instancia la API AbstractPlatform::modifyLimitQuery

Netty es un marco de trabajo de aplicaciones de red asíncronas impulsadas por eventos para el desarrollo rápido de servidores y clientes de protocolo de alto rendimiento mantenibles. Netty antes de la versión 4.1.71.Final omite los caracteres de control cuando están presentes al principio/fin del nombre de la cabecera. En su lugar, debería fallar rápidamente ya que estos no están permitidos por la especificación y podrían llevar a un contrabando de peticiones HTTP. No hacer la validación podría causar que netty "sanee" los nombres de las cabeceras antes de reenviarlas a otro sistema remoto cuando se usa como proxy. Este sistema remoto ya no puede ver el uso inválido, y por lo tanto no hace la validación por sí mismo. Los usuarios deben actualizar a la versión 4.1.71.Final

Se presenta una vulnerabilidad de tipo Cross Site Scripting (XSS) en ZZZCMS versión V1.7.1, por medio de una acción editfile en el archivo save.php

Una vulnerabilidad de tipo Cross Site Request Forgery (CSRF) se presenta en ZZZCMS versión V1.7.1, por medio de la función save_user en el archivo save.php