Vulnerabilidades

FastAPI Api Key proporciona una librería agnóstica al backend que proporciona un sistema de claves API. La versión 1.1.0 tiene una vulnerabilidad de canal lateral de temporización en verify_key(). El método aplicó un retraso aleatorio solo en fallos de verificación, permitiendo a un atacante distinguir estadísticamente las claves API válidas de las inválidas midiendo las latencias de respuesta. Con suficientes solicitudes repetidas, un adversario podría inferir si un key_id corresponde a una clave válida, acelerando potencialmente los ataques de fuerza bruta o enumeración. Todos los usuarios que dependen de verify_key() para la autenticación de claves API antes de la corrección se ven afectados. Los usuarios deben actualizar a la versión 1.1.0 para recibir un parche. El parche aplica un retraso aleatorio uniforme (min_delay a max_delay) a todas las respuestas independientemente del resultado, eliminando la correlación de temporización. Hay disponibles algunas soluciones alternativas. Añadir un retraso fijo a nivel de aplicación o fluctuación aleatoria a todas las respuestas de autenticación (éxito y fallo) antes de que se aplique la corrección y/o usar la limitación de velocidad para reducir la viabilidad de los ataques de temporización estadísticos.

Backstage es un framework abierto para construir portales de desarrolladores. Múltiples acciones de Scaffolder y utilidades de extracción de archivos eran vulnerables a ataques de salto de ruta basados en symlinks. Un atacante con acceso para crear y ejecutar plantillas de Scaffolder podría explotar symlinks para leer archivos arbitrarios a través de la acción debug:log creando un symlink que apunte a archivos sensibles (p. ej., /etc /passwd, archivos de configuración, secretos); eliminar archivos arbitrarios a través de la acción fs:delete creando symlinks que apunten fuera del espacio de trabajo, y escribir archivos fuera del espacio de trabajo a través de la extracción de archivos (tar/zip) que contengan symlinks maliciosos. Esto afecta a cualquier implementación de Backstage donde los usuarios puedan crear o ejecutar plantillas de Scaffolder. Esta vulnerabilidad está corregida en las versiones 0.12.2, 0.13.2, 0.14.1 y 0.15.0 de @backstage/backend-defaults; las versiones 2.2.2, 3.0.2 y 3.1.1 de @backstage/plugin-scaffolder-backend; y las versiones 0.11.2 y 0.12.3 de @backstage/plugin-scaffolder-node. Los usuarios deben actualizar a estas versiones o posteriores. Hay algunas soluciones alternativas disponibles. Siga la recomendación en el Modelo de Amenazas de Backstage para limitar el acceso a la creación y actualización de plantillas, restringir quién puede crear y ejecutar plantillas de Scaffolder utilizando el framework de permisos, auditar las plantillas existentes en busca de uso de symlinks, y/o ejecutar Backstage en un entorno en contenedores con acceso limitado al sistema de archivos.

Backstage es un framework abierto para construir portales de desarrollador, y @backstage/cli-common proporciona funcionalidad de carga de configuración utilizada por el backend y la interfaz de línea de comandos de Backstage. Antes de la versión 0.1.17, la función de utilidad 'resolveSafeChildPath' en '@backstage/backend-plugin-api', que se utiliza para prevenir ataques de salto de ruta, no validaba correctamente las cadenas de enlaces simbólicos y los enlaces simbólicos colgantes. Un atacante podría eludir la validación de ruta a través de cadenas de enlaces simbólicos (creando 'link1 ? link2 ? /outside' donde los enlaces simbólicos intermedios finalmente se resuelven fuera del directorio permitido) y enlaces simbólicos colgantes (creando enlaces simbólicos que apuntan a rutas inexistentes fuera del directorio base, que luego se crearían durante las operaciones de archivo). Esta función es utilizada por las acciones de Scaffolder y otros componentes de backend para asegurar que las operaciones de archivo permanezcan dentro de los directorios designados. Esta vulnerabilidad se corrige en '@backstage/backend-plugin-api' versión 0.1.17. Los usuarios deben actualizar a esta versión o posterior. Hay disponibles algunas soluciones alternativas. Ejecute Backstage en un entorno en contenedores con acceso limitado al sistema de archivos y/o restrinja la creación de plantillas a usuarios de confianza.

Backstage es un framework abierto para construir portales de desarrolladores, y @backstage/backend-defaults proporciona las implementaciones y configuración predeterminadas para una aplicación backend estándar de Backstage. Antes de las versiones 0.12.2, 0.13.2, 0.14.1 y 0.15.0, el componente 'FetchUrlReader', utilizado por el catálogo y otros plugins para obtener contenido de URLs, seguía las redirecciones HTTP automáticamente. Esto permitía a un atacante que controla un host listado en 'backend.reading.allow' redirigir peticiones a URLs internas o sensibles que no están en la lista de permitidos, eludiendo el control de seguridad de la lista de permitidos de URLs. Esta es una vulnerabilidad de falsificación de petición del lado del servidor (SSRF) que podría permitir el acceso a recursos internos, pero no permite a los atacantes incluir encabezados de petición adicionales. Esta vulnerabilidad está corregida en la versión 0.12.2, 0.13.2, 0.14.1 y 0.15.0 de '@backstage/backend-defaults'. Los usuarios deberían actualizar a esta versión o posterior. Hay disponibles algunas soluciones alternativas. Restrinja 'backend.reading.allow' solo a hosts de confianza que usted controle y que no emitan redirecciones, asegúrese de que los hosts permitidos no tengan vulnerabilidades de redirección abierta, y/o utilice controles a nivel de red para bloquear el acceso desde Backstage a puntos finales internos sensibles.

Copier es una librería y aplicación CLI para renderizar plantillas de proyecto. Antes de la versión 9.11.2, Copier sugiere que es seguro generar un proyecto a partir de una plantilla segura, es decir, una que no utiliza características inseguras como extensiones Jinja personalizadas, lo que requeriría pasar la bandera '--UNSAFE,--trust'. Resulta que una plantilla segura puede actualmente escribir en directorios arbitrarios fuera de la ruta de destino utilizando un enlace simbólico de directorio junto con '_preserve_symlinks: true' y una estructura de directorio generada cuya ruta renderizada está dentro del directorio con enlace simbólico. De esta manera, un autor de plantilla malicioso puede crear una plantilla que sobrescribe archivos arbitrarios (según los permisos de escritura del usuario), por ejemplo, para causar estragos. La versión 9.11.2 corrige el problema.

seroval facilita la serialización de valores JS, incluyendo estructuras complejas más allá de las capacidades de JSON.stringify. En las versiones 1.4.0 y anteriores, debido a una validación de entrada inadecuada, una clave de objeto maliciosa puede conducir a la contaminación de prototipos durante la deserialización JSON. Esta vulnerabilidad afecta solo a la funcionalidad de deserialización JSON. Este problema se ha solucionado en la versión 1.4.1.

seroval facilita la serialización de valores JS, incluyendo estructuras complejas más allá de las capacidades de JSON.stringify. En las versiones 1.4.0 e inferiores, un manejo inadecuado de la entrada en el componente de deserialización JSON puede llevar a la ejecución arbitraria de código JavaScript. Es posible explotarlo mediante la anulación de la deserialización de valores constantes y errores, permitiendo el acceso indirecto a la evaluación JS insegura. Como mínimo, los atacantes necesitan la capacidad de realizar 4 solicitudes separadas en la misma función, y un conocimiento parcial de cómo se utilizan los datos serializados durante el procesamiento posterior en tiempo de ejecución. Esta vulnerabilidad afecta a las funciones fromJSON y fromCrossJSON en un escenario de transmisión de cliente a servidor. Este problema ha sido solucionado en la versión 1.4.0.

Copier es una librería y aplicación CLI para renderizar plantillas de proyecto. Antes de la versión 9.11.2, Copier sugiere que es seguro generar un proyecto a partir de una plantilla segura, es decir, una que no utiliza características inseguras como extensiones Jinja personalizadas que requerirían pasar la bandera '--UNSAFE,--trust'. Resulta que una plantilla segura puede actualmente incluir archivos/directorios arbitrarios fuera de la ubicación de clonación de la plantilla local utilizando enlaces simbólicos junto con '_preserve_symlinks: false' (que es la configuración predeterminada de Copier). La versión 9.11.2 corrige el problema.

El Flux Operator es un controlador CRD de Kubernetes que gestiona el ciclo de vida de CNCF Flux CD y la distribución empresarial ControlPlane. A partir de la versión 0.36.0 y antes de la versión 0.40.0, existe una vulnerabilidad de escalada de privilegios en el código de autenticación de la interfaz de usuario web (Web UI) de Flux Operator que permite a un atacante eludir la suplantación de identidad de Kubernetes RBAC y ejecutar solicitudes de API con los privilegios de la cuenta de servicio del operador. Para ser vulnerable, los administradores del clúster deben configurar el Flux Operator con un proveedor OIDC que emita tokens que carezcan de las reclamaciones esperadas (por ejemplo, 'email', 'groups'), o configurar expresiones CEL personalizadas que puedan evaluarse como valores vacíos. Después de que las reclamaciones del token OIDC se procesen a través de expresiones CEL, no hay validación de que los valores resultantes de 'username' y 'groups' no estén vacíos. Cuando ambos valores están vacíos, la librería client-go de Kubernetes no añade encabezados de suplantación a las solicitudes de API, lo que hace que se ejecuten con las credenciales de la cuenta de servicio de flux-operator en lugar de los permisos limitados del usuario autenticado. Esto puede resultar en escalada de privilegios, exposición de datos y/o revelación de información. La versión 0.40.0 corrige el problema.

Docmost es un software de wiki colaborativo y documentación de código abierto. En las versiones 0.3.0 a la 0.23.2, la renderización de bloques de código Mermaid es vulnerable a cross-site scripting (XSS) almacenado. El frontend puede renderizar diagramas Mermaid controlados por el atacante usando mermaid.render(), luego inyectar el SVG/HTML devuelto en el DOM a través de dangerouslySetInnerHTML sin sanitización. Las directivas %%{init}%% de Mermaid por diagrama permiten anular securityLevel y habilitar htmlLabels, permitiendo la ejecución arbitraria de HTML/JS para cualquier visor. Este problema ha sido solucionado en la versión 0.24.0.

Argo Workflows es un motor de flujo de trabajo de código abierto nativo de contenedores para orquestar trabajos paralelos en Kubernetes. Antes de las versiones 3.6.17 y 3.7.8, un XSS almacenado en el listado del directorio de artefactos permite a cualquier autor de flujo de trabajo ejecutar JavaScript arbitrario en el navegador de otro usuario bajo el origen del servidor Argo, lo que permite acciones de API con los privilegios de la víctima. Las versiones 3.6.17 y 3.7.8 solucionan el problema.

Fleet es software de gestión de dispositivos de código abierto. En versiones anteriores a 4.78.3, 4.77.1, 4.76.2, 4.75.2 y 4.53.3, una vulnerabilidad en el flujo de inscripción de MDM de Windows de Fleet podría permitir a un atacante enviar tokens de autenticación falsificados que no se validan correctamente. Debido a que las firmas JWT no se verificaban, Fleet podría aceptar reclamaciones de identidad controladas por el atacante, permitiendo la inscripción de dispositivos no autorizados bajo identidades de usuario arbitrarias de Azure AD. Las versiones 4.78.3, 4.77.1, 4.76.2, 4.75.2 y 4.53.3 solucionan el problema. Si una actualización inmediata no es posible, los usuarios de Fleet afectados deberían deshabilitar temporalmente Windows MDM.