Vulnerabilidades

Resumen<br /> Se ha encontrado una vulnerabilidad de inyección de comandos (CWE-78) que existe en el comando &amp;#39;wrangler pages deploy&amp;#39;. El problema ocurre porque el parámetro --commit-hash se pasa directamente a un comando de shell sin la validación o sanitización adecuadas, permitiendo a un atacante con control de --commit-hash ejecutar comandos arbitrarios en el sistema que ejecuta Wrangler.<br /> <br /> Causa raíz<br /> La variable commitHash, derivada de la entrada del usuario a través del argumento CLI --commit-hash, se interpola directamente en un comando de shell usando literales de plantilla (p. ej., execSync(&amp;#39;git show -s --format=%B ${commitHash}&amp;#39;)). Los metacaracteres de shell son interpretados por el shell, lo que permite la ejecución de comandos.<br /> <br /> Impacto<br /> Esta vulnerabilidad es generalmente difícil de exploit, ya que requiere que --commit-hash esté controlado por el atacante. La vulnerabilidad afecta principalmente a entornos CI/CD donde &amp;#39;wrangler pages deploy&amp;#39; se utiliza en pipelines automatizados y el parámetro --commit-hash se rellena desde fuentes externas, potencialmente no confiables. Un atacante podría exploit esto para:<br /> <br /> * Ejecutar cualquier comando de shell.<br /> * Exfiltrar variables de entorno.<br /> * Comprometer el ejecutor de CI para instalar puertas traseras o modificar artefactos de compilación.<br /> <br /> Créditos<br /> Divulgado de forma responsable por kny4hacker.<br /> <br /> Mitigación<br /> * Se solicita a los usuarios de Wrangler v4 que actualicen a Wrangler v4.59.1 o superior.<br /> * Se solicita a los usuarios de Wrangler v3 que actualicen a Wrangler v3.114.17 o superior.<br /> * Los usuarios de Wrangler v2 (EOL) deben actualizar a una versión principal compatible.

Vulnerabilidad en el producto Oracle VM VirtualBox de Oracle Virtualization (componente: Core). Las versiones compatibles afectadas son 7.1.14 y 7.2.4. Vulnerabilidad fácilmente explotable permite a un atacante con altos privilegios y acceso a la infraestructura donde se ejecuta Oracle VM VirtualBox comprometer Oracle VM VirtualBox. Aunque la vulnerabilidad reside en Oracle VM VirtualBox, los ataques pueden impactar significativamente productos adicionales (cambio de alcance). Los ataques exitosos de esta vulnerabilidad pueden resultar en acceso no autorizado de creación, eliminación o modificación a datos críticos o a todos los datos accesibles por Oracle VM VirtualBox, así como acceso no autorizado a datos críticos o acceso completo a todos los datos accesibles por Oracle VM VirtualBox y la capacidad no autorizada de causar una denegación de servicio parcial (DoS parcial) de Oracle VM VirtualBox. Puntuación Base CVSS 3.1 de 8.1 (impactos en Confidencialidad, Integridad y Disponibilidad). Vector CVSS: (CVSS:3.1/AV:L/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:L).

Vulnerabilidad en el producto Oracle VM VirtualBox de Oracle Virtualization (componente: Core). Versiones compatibles que están afectadas son 7.1.14 y 7.2.4. Vulnerabilidad fácilmente explotable permite a un atacante con altos privilegios con inicio de sesión en la infraestructura donde se ejecuta Oracle VM VirtualBox comprometer Oracle VM VirtualBox. Aunque la vulnerabilidad está en Oracle VM VirtualBox, los ataques pueden impactar significativamente productos adicionales (cambio de alcance). Ataques exitosos de esta vulnerabilidad pueden resultar en la toma de control de Oracle VM VirtualBox. Puntuación Base CVSS 3.1 8.2 (impactos en Confidencialidad, Integridad y Disponibilidad). Vector CVSS: (CVSS:3.1/AV:L/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H).

Vulnerabilidad en el producto Oracle VM VirtualBox de Oracle Virtualization (componente: Core). Versiones soportadas que están afectadas son 7.1.14 y 7.2.4. Vulnerabilidad fácilmente explotable permite a un atacante con altos privilegios con inicio de sesión en la infraestructura donde se ejecuta Oracle VM VirtualBox comprometer Oracle VM VirtualBox. Aunque la vulnerabilidad está en Oracle VM VirtualBox, los ataques pueden impactar significativamente productos adicionales (cambio de alcance). Ataques exitosos de esta vulnerabilidad pueden resultar en acceso no autorizado a datos críticos o acceso completo a todos los datos accesibles de Oracle VM VirtualBox. CVSS 3.1 Puntuación Base 6.0 (impactos en la Confidencialidad). Vector CVSS: (CVSS:3.1/AV:L/AC:L/PR:H/UI:N/S:C/C:H/I:N/A:N).

Vulnerabilidad en el producto Oracle VM VirtualBox de Oracle Virtualization (componente: Core). Versiones compatibles que están afectadas son 7.1.14 y 7.2.4. Vulnerabilidad fácilmente explotable permite a un atacante no autenticado con inicio de sesión en la infraestructura donde se ejecuta Oracle VM VirtualBox comprometer Oracle VM VirtualBox. Aunque la vulnerabilidad está en Oracle VM VirtualBox, los ataques pueden impactar significativamente productos adicionales (cambio de alcance). Ataques exitosos de esta vulnerabilidad pueden resultar en la capacidad no autorizada de causar un bloqueo o un fallo repetible con frecuencia (DoS completo) de Oracle VM VirtualBox. Nota: Esta vulnerabilidad se aplica solo a las máquinas virtuales de Windows. Puntuación Base CVSS 3.1 7.1 (impactos en la disponibilidad). Vector CVSS: (CVSS:3.1/AV:L/AC:L/PR:N/UI:N/S:C/C:N/I:N/A:H).

Vulnerabilidad en el producto Oracle VM VirtualBox de Oracle Virtualization (componente: Core). Versiones soportadas que están afectadas son 7.1.14 y 7.2.4. Vulnerabilidad fácilmente explotable permite a un atacante con altos privilegios con inicio de sesión en la infraestructura donde se ejecuta Oracle VM VirtualBox comprometer Oracle VM VirtualBox. Aunque la vulnerabilidad está en Oracle VM VirtualBox, los ataques pueden impactar significativamente productos adicionales (cambio de alcance). Ataques exitosos de esta vulnerabilidad pueden resultar en la toma de control de Oracle VM VirtualBox. Puntuación Base CVSS 3.1 de 8.2 (impactos en la Confidencialidad, Integridad y Disponibilidad). Vector CVSS: (CVSS:3.1/AV:L/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H).

Vulnerabilidad en el producto Oracle VM VirtualBox de Oracle Virtualization (componente: Core). Versiones soportadas que están afectadas son 7.1.14 y 7.2.4. Vulnerabilidad fácilmente explotable permite a un atacante con altos privilegios con inicio de sesión en la infraestructura donde se ejecuta Oracle VM VirtualBox comprometer Oracle VM VirtualBox. Aunque la vulnerabilidad está en Oracle VM VirtualBox, los ataques pueden impactar significativamente productos adicionales (cambio de alcance). Ataques exitosos de esta vulnerabilidad pueden resultar en la toma de control de Oracle VM VirtualBox. Puntuación Base CVSS 3.1 de 8.2 (impactos en Confidencialidad, Integridad y Disponibilidad). Vector CVSS: (CVSS:3.1/AV:L/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H).

Vulnerabilidad en el producto Oracle FLEXCUBE Universal Banking de Oracle Financial Services Applications (componente: Relationship Pricing). Las versiones soportadas que están afectadas son 14.0.0.0.0-14.8.0.0.0. Una vulnerabilidad fácilmente explotable permite a un atacante con bajos privilegios con acceso a la red vía HTTP comprometer Oracle FLEXCUBE Universal Banking. Los ataques exitosos de esta vulnerabilidad pueden resultar en acceso no autorizado a datos críticos o acceso completo a todos los datos accesibles de Oracle FLEXCUBE Universal Banking. Puntuación base CVSS 3.1 de 6.5 (Impactos en la confidencialidad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N).

Vulnerabilidad en el producto Oracle Life Sciences Central Coding de Oracle Health Sciences Applications (componente: Platform). La versión soportada que está afectada es 7.0.1.0. Vulnerabilidad fácilmente explotable permite a un atacante no autenticado con acceso de red vía HTTP comprometer Oracle Life Sciences Central Coding. Ataques exitosos de esta vulnerabilidad pueden resultar en acceso no autorizado de actualización, inserción o eliminación a algunos de los datos accesibles de Oracle Life Sciences Central Coding, así como acceso de lectura no autorizado a un subconjunto de los datos accesibles de Oracle Life Sciences Central Coding. Puntuación Base CVSS 3.1 6.5 (impactos en la Confidencialidad e Integridad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:N).

Vulnerabilidad en el producto Oracle VM VirtualBox de Oracle Virtualization (componente: Core). Las versiones compatibles que están afectadas son 7.1.14 y 7.2.4. La vulnerabilidad fácilmente explotable permite a un atacante con altos privilegios con inicio de sesión en la infraestructura donde se ejecuta Oracle VM VirtualBox comprometer Oracle VM VirtualBox. Aunque la vulnerabilidad está en Oracle VM VirtualBox, los ataques pueden impactar significativamente productos adicionales (cambio de alcance). Los ataques exitosos de esta vulnerabilidad pueden resultar en acceso de lectura no autorizado a un subconjunto de datos accesibles de Oracle VM VirtualBox y capacidad no autorizada de causar una denegación de servicio parcial (DoS parcial) de Oracle VM VirtualBox. Puntuación Base CVSS 3.1 de 4.6 (impactos en la Confidencialidad y Disponibilidad). Vector CVSS: (CVSS:3.1/AV:L/AC:L/PR:H/UI:N/S:C/C:L/I:N/A:L).

Vulnerabilidad en el producto Oracle VM VirtualBox de Oracle Virtualization (componente: Core). Versiones compatibles que están afectadas son 7.1.14 y 7.2.4. Vulnerabilidad difícil de explotar permite a un atacante no autenticado con acceso al segmento de comunicación físico adjunto al hardware donde se ejecuta Oracle VM VirtualBox comprometer Oracle VM VirtualBox. Ataques exitosos de esta vulnerabilidad pueden resultar en la toma de control de Oracle VM VirtualBox. Puntuación base CVSS 3.1 de 7.5 (Impactos en Confidencialidad, Integridad y Disponibilidad). Vector CVSS: (CVSS:3.1/AV:A/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H).

Vulnerabilidad en el producto Oracle VM VirtualBox de Oracle Virtualization (componente: Core). Versiones soportadas que están afectadas son 7.1.14 y 7.2.4. Difícil de explotar vulnerabilidad permite a un atacante con altos privilegios con inicio de sesión en la infraestructura donde se ejecuta Oracle VM VirtualBox comprometer Oracle VM VirtualBox. Aunque la vulnerabilidad está en Oracle VM VirtualBox, los ataques pueden impactar significativamente productos adicionales (cambio de alcance). Ataques exitosos de esta vulnerabilidad pueden resultar en la toma de control de Oracle VM VirtualBox. Puntuación Base CVSS 3.1 7.5 (impactos en Confidencialidad, Integridad y Disponibilidad). Vector CVSS: (CVSS:3.1/AV:L/AC:H/PR:H/UI:N/S:C/C:H/I:H/A:H).