Vulnerabilidades

Arcane es una interfaz para gestionar contenedores Docker, imágenes, redes y volúmenes. Antes de la versión 1.13.2, las solicitudes no autenticadas podían ser redirigidas a agentes de entornos remotos, permitiendo el acceso a recursos de entornos remotos sin autenticación. El middleware de proxy de entorno manejaba las solicitudes `/api/environments/{id}/...` para entornos remotos antes de que se aplicara la autenticación. Cuando el ID del entorno no era local, el middleware redirigía la solicitud y adjuntaba el token de agente en posesión del gestor, incluso si el solicitante no estaba autenticado. Esto permitía el acceso no autenticado a operaciones de entornos remotos (por ejemplo, listar contenedores, transmitir registros u otros puntos finales de agente). Un atacante no autenticado podía acceder y manipular recursos de entornos remotos a través del proxy, lo que podría llevar a la exposición de datos, cambios no autorizados o interrupción del servicio. La versión 1.13.2 corrige la vulnerabilidad.

Una debilidad ha sido identificada en Yonyou KSOA 9.0. Afectada por esta vulnerabilidad es una funcionalidad desconocida del archivo /kmf/save_folder.jsp del componente HTTP GET Parameter Handler. La ejecución de una manipulación del argumento folderid puede llevar a inyección SQL. Es posible lanzar el ataque remotamente. El exploit ha sido puesto a disposición del público y podría ser utilizado para ataques. El proveedor fue contactado tempranamente sobre esta divulgación pero no respondió de ninguna manera.

Una vulnerabilidad de seguridad ha sido detectada en Yonyou KSOA 9.0. Afectada por este problema es alguna funcionalidad desconocida del archivo /kmf/select.jsp del componente HTTP GET Parameter Handler. La manipulación del argumento folderid conduce a inyección SQL. El ataque puede ser iniciado remotamente. El exploit ha sido divulgado públicamente y puede ser utilizado. El proveedor fue contactado tempranamente sobre esta divulgación pero no respondió de ninguna manera.

Swing Music es un reproductor de música autoalojado para archivos de audio locales. Antes de la versión 2.1.4, la función `list_folders()` de Swing Music en el endpoint `/folder/dir-browser` es vulnerable a ataques de salto de directorio. Cualquier usuario autenticado (incluidos los no administradores) puede navegar por directorios arbitrarios en el sistema de archivos del servidor. La versión 2.1.4 soluciona el problema.

OnboardLite es una plataforma integral para el ciclo de vida de la membresía construida para organizaciones estudiantiles en la Universidad de Florida Central. Las versiones del software anteriores al commit 1d32081a66f21bcf41df1ecb672490b13f6e429f tienen una vulnerabilidad de cross-site scripting almacenado que puede ser renderizada a un administrador cuando intenta migrar la cuenta de Discord de un usuario en el panel de control. El commit 1d32081a66f21bcf41df1ecb672490b13f6e429f corrige el problema.

Swift W3C TraceContext es una implementación en Swift del estándar W3C Trace Context, y Swift OTel es un backend del Protocolo OpenTelemetry (OTLP) para Swift Log, Swift Metrics y Swift Distributed Tracing. Antes de Swift W3C TraceContext versión 1.0.0-beta.5 y Swift OTel versión 1.0.4, una vulnerabilidad de denegación de servicio debido a una validación de entrada incorrecta permite a un atacante remoto bloquear el servicio a través de un encabezado HTTP malformado. Esto permite bloquear el proceso con datos provenientes de la red cuando se usa con, por ejemplo, un servidor HTTP. La forma más común de usar Swift W3C Trace Context es a través de Swift OTel. La versión 1.0.0-beta.5 de Swift W3C TraceContext y la versión 1.0.4 de Swift OTel contienen un parche para este problema. Como solución alternativa, deshabilite Swift OTel o el código que extrae la información de rastreo de un encabezado entrante (como un 'TracingMiddleware').

MyTube es un descargador y reproductor autoalojado para varios sitios web de vídeo. Antes de la versión 1.7.71, una omisión de limitación de velocidad mediante la suplantación del encabezado `X-Forwarded-For` permite a atacantes no autenticados omitir la limitación de velocidad basada en IP en los endpoints generales de la API. Los atacantes pueden suplantar las IP del cliente manipulando el encabezado `X-Forwarded-For`, lo que permite solicitudes ilimitadas a puntos finales protegidos, incluidos los puntos finales generales de la API (lo que permite DoS) y otras funcionalidades con limitación de velocidad. La versión 1.7.71 contiene un parche para el problema.

El Navegador de Archivos proporciona una interfaz de gestión de archivos dentro de un directorio especificado y puede ser utilizado para subir, eliminar, previsualizar, renombrar y editar archivos. Antes de la versión 2.55.0, la función JSONAuth. Auth contiene un fallo lógico que permite a atacantes no autenticados enumerar nombres de usuario válidos midiendo el tiempo de respuesta del endpoint /api/login. La vulnerabilidad existe debido a una evaluación de 'cortocircuito' en la lógica de autenticación. Cuando un nombre de usuario no se encuentra en la base de datos, la función devuelve inmediatamente. Sin embargo, si el nombre de usuario sí existe, el código procede a verificar la contraseña usando bcrypt (users.CheckPwd), que es una operación computacionalmente costosa diseñada para ser lenta. Esta diferencia en la ruta de ejecución crea una discrepancia de tiempo medible. La versión 2.55.0 contiene un parche para el problema.

Whisper Money es una aplicación de finanzas personales. Las versiones anteriores a la 0.1.5 tienen una vulnerabilidad de referencia directa insegura a objetos. Un usuario puede actualizar/crear saldos de cuentas en las cuentas bancarias de otros usuarios. La versión 0.1.5 soluciona el problema.

CrawlChat es una plataforma de código abierto, impulsada por IA, que transforma la documentación técnica en chatbots inteligentes. Antes de la versión 0.0.8, una verificación de permisos inexistente para el bot de Discord de CrawlChat permite a usuarios que no gestionan el gremio colocar contenido malicioso en la base de conocimientos de la colección. Normalmente, los administradores / moderadores de un gremio de Discord usan el emoji 'jigsaw' para guardar un mensaje específico (cadena) en la base de conocimientos de la colección de CrawlChat. Desafortunadamente, no se realizó una verificación de permisos (por ejemplo, MANAGE_SERVER; MANAGE_MESSAGES, etc.), permitiendo a los usuarios normales del gremio información a la base de conocimientos. Al apuntar a partes específicas que se preguntan comúnmente, los usuarios pueden manipular el contenido proporcionado por el bot (en todas las integraciones), para, por ejemplo, redirigir a los usuarios a un sitio malicioso, o enviar información a un usuario malicioso. La versión 0.0.8 soluciona el problema.

MyTube es un descargador y reproductor autoalojado para varios sitios web de vídeo. Una vulnerabilidad presente en la versión 1.7.65 y potencialmente en versiones anteriores permite a los usuarios no autenticados eludir la comprobación de autenticación obligatoria en el roleBasedAuthMiddleware. Simplemente al no proporcionar una cookie de autenticación (haciendo que req.user sea indefinido), una solicitud se pasa incorrectamente a los manejadores posteriores. Todos los usuarios que ejecutan MyTube con loginEnabled: true se ven afectados. Esta falla permite a un atacante acceder y modificar la configuración de la aplicación a través de /API/settings, cambiar las contraseñas administrativas y de visitante, y acceder a otras rutas protegidas que dependen de este middleware específico. El problema está parcheado en la v1.7.66. Los mantenedores de MyTube recomiendan a todos los usuarios actualizar a la versión v1.7.64 como mínimo inmediatamente para asegurar sus instancias. La solución asegura que el middleware bloquea explícitamente las solicitudes si un usuario no está autenticado, en lugar de recurrir a next(). Aquellos que no puedan actualizar inmediatamente pueden mitigar el riesgo restringiendo el acceso a la red usando un cortafuegos o un proxy inverso (como Nginx) para restringir el acceso a los puntos finales /API/ solo a direcciones IP de confianza o, si se sienten cómodos editando el código fuente, aplicar un parche manualmente localizando roleBasedAuthMiddleware y asegurándose de que la lógica recurra a un error (401 Unauthorized) cuando req.user sea indefinido, en lugar de llamar a next().

Se ha descubierto una falla de seguridad en itsourcecode School Management System 1.0. Afectada es una función desconocida del archivo /subject/index.php. Realizar una manipulación del argumento ID resulta en inyección SQL. Es posible iniciar el ataque de forma remota. El exploit ha sido publicado y puede ser utilizado para ataques.