Vulnerabilidades

Copier es una librería y aplicación CLI para renderizar plantillas de proyecto. Antes de la versión 9.11.2, Copier sugiere que es seguro generar un proyecto a partir de una plantilla segura, es decir, una que no utiliza características inseguras como extensiones Jinja personalizadas, lo que requeriría pasar la bandera '--UNSAFE,--trust'. Resulta que una plantilla segura puede actualmente escribir en directorios arbitrarios fuera de la ruta de destino utilizando un enlace simbólico de directorio junto con '_preserve_symlinks: true' y una estructura de directorio generada cuya ruta renderizada está dentro del directorio con enlace simbólico. De esta manera, un autor de plantilla malicioso puede crear una plantilla que sobrescribe archivos arbitrarios (según los permisos de escritura del usuario), por ejemplo, para causar estragos. La versión 9.11.2 corrige el problema.

seroval facilita la serialización de valores JS, incluyendo estructuras complejas más allá de las capacidades de JSON.stringify. En las versiones 1.4.0 y anteriores, debido a una validación de entrada inadecuada, una clave de objeto maliciosa puede conducir a la contaminación de prototipos durante la deserialización JSON. Esta vulnerabilidad afecta solo a la funcionalidad de deserialización JSON. Este problema se ha solucionado en la versión 1.4.1.

seroval facilita la serialización de valores JS, incluyendo estructuras complejas más allá de las capacidades de JSON.stringify. En las versiones 1.4.0 e inferiores, un manejo inadecuado de la entrada en el componente de deserialización JSON puede llevar a la ejecución arbitraria de código JavaScript. Es posible explotarlo mediante la anulación de la deserialización de valores constantes y errores, permitiendo el acceso indirecto a la evaluación JS insegura. Como mínimo, los atacantes necesitan la capacidad de realizar 4 solicitudes separadas en la misma función, y un conocimiento parcial de cómo se utilizan los datos serializados durante el procesamiento posterior en tiempo de ejecución. Esta vulnerabilidad afecta a las funciones fromJSON y fromCrossJSON en un escenario de transmisión de cliente a servidor. Este problema ha sido solucionado en la versión 1.4.0.

Copier es una librería y aplicación CLI para renderizar plantillas de proyecto. Antes de la versión 9.11.2, Copier sugiere que es seguro generar un proyecto a partir de una plantilla segura, es decir, una que no utiliza características inseguras como extensiones Jinja personalizadas que requerirían pasar la bandera '--UNSAFE,--trust'. Resulta que una plantilla segura puede actualmente incluir archivos/directorios arbitrarios fuera de la ubicación de clonación de la plantilla local utilizando enlaces simbólicos junto con '_preserve_symlinks: false' (que es la configuración predeterminada de Copier). La versión 9.11.2 corrige el problema.

El Flux Operator es un controlador CRD de Kubernetes que gestiona el ciclo de vida de CNCF Flux CD y la distribución empresarial ControlPlane. A partir de la versión 0.36.0 y antes de la versión 0.40.0, existe una vulnerabilidad de escalada de privilegios en el código de autenticación de la interfaz de usuario web (Web UI) de Flux Operator que permite a un atacante eludir la suplantación de identidad de Kubernetes RBAC y ejecutar solicitudes de API con los privilegios de la cuenta de servicio del operador. Para ser vulnerable, los administradores del clúster deben configurar el Flux Operator con un proveedor OIDC que emita tokens que carezcan de las reclamaciones esperadas (por ejemplo, 'email', 'groups'), o configurar expresiones CEL personalizadas que puedan evaluarse como valores vacíos. Después de que las reclamaciones del token OIDC se procesen a través de expresiones CEL, no hay validación de que los valores resultantes de 'username' y 'groups' no estén vacíos. Cuando ambos valores están vacíos, la librería client-go de Kubernetes no añade encabezados de suplantación a las solicitudes de API, lo que hace que se ejecuten con las credenciales de la cuenta de servicio de flux-operator en lugar de los permisos limitados del usuario autenticado. Esto puede resultar en escalada de privilegios, exposición de datos y/o revelación de información. La versión 0.40.0 corrige el problema.

Docmost es un software de wiki colaborativo y documentación de código abierto. En las versiones 0.3.0 a la 0.23.2, la renderización de bloques de código Mermaid es vulnerable a cross-site scripting (XSS) almacenado. El frontend puede renderizar diagramas Mermaid controlados por el atacante usando mermaid.render(), luego inyectar el SVG/HTML devuelto en el DOM a través de dangerouslySetInnerHTML sin sanitización. Las directivas %%{init}%% de Mermaid por diagrama permiten anular securityLevel y habilitar htmlLabels, permitiendo la ejecución arbitraria de HTML/JS para cualquier visor. Este problema ha sido solucionado en la versión 0.24.0.

Argo Workflows es un motor de flujo de trabajo de código abierto nativo de contenedores para orquestar trabajos paralelos en Kubernetes. Antes de las versiones 3.6.17 y 3.7.8, un XSS almacenado en el listado del directorio de artefactos permite a cualquier autor de flujo de trabajo ejecutar JavaScript arbitrario en el navegador de otro usuario bajo el origen del servidor Argo, lo que permite acciones de API con los privilegios de la víctima. Las versiones 3.6.17 y 3.7.8 solucionan el problema.

Fleet es software de gestión de dispositivos de código abierto. En versiones anteriores a 4.78.3, 4.77.1, 4.76.2, 4.75.2 y 4.53.3, una vulnerabilidad en el flujo de inscripción de MDM de Windows de Fleet podría permitir a un atacante enviar tokens de autenticación falsificados que no se validan correctamente. Debido a que las firmas JWT no se verificaban, Fleet podría aceptar reclamaciones de identidad controladas por el atacante, permitiendo la inscripción de dispositivos no autorizados bajo identidades de usuario arbitrarias de Azure AD. Las versiones 4.78.3, 4.77.1, 4.76.2, 4.75.2 y 4.53.3 solucionan el problema. Si una actualización inmediata no es posible, los usuarios de Fleet afectados deberían deshabilitar temporalmente Windows MDM.

Laravel Reverb proporciona un backend de comunicación WebSocket en tiempo real para aplicaciones Laravel. En las versiones 1.6.3 e inferiores, Reverb pasa datos del canal Redis directamente a la función unserialize() de PHP sin restringir qué clases pueden ser instanciadas, lo que deja a los usuarios vulnerables a la ejecución remota de código. La explotabilidad de esta vulnerabilidad se incrementa porque los servidores Redis se implementan comúnmente sin autenticación, pero solo afecta a Laravel Reverb cuando el escalado horizontal está habilitado (REVERB_SCALING_ENABLED=true). Este problema ha sido solucionado en la versión 1.7.0. Como solución alternativa, requiera una contraseña fuerte para el acceso a Redis y asegúrese de que el servicio solo sea accesible a través de una red privada o loopback local, y/o configure REVERB_SCALING_ENABLED=false para eludir completamente la lógica vulnerable (si el entorno utiliza solo un nodo Reverb).

CVAT es una herramienta de anotación interactiva de vídeo e imagen de código abierto para visión por computadora. En las versiones 1.0.0 a 2.54.0, los usuarios que tienen el estado de personal pueden cambiar libremente sus permisos, incluyendo otorgarse a sí mismos el estado de superusuario y unirse al grupo de administradores, lo que les da acceso completo a los datos en la instancia de CVAT. La versión 2.55.0 corrige el problema. Como solución alternativa, revise la lista de usuarios con estado de personal y revóquelo a cualquier usuario que no se espere que tenga privilegios de superusuario.

Saleor es una plataforma de comercio electrónico. A partir de la versión 3.0.0 y antes de las versiones 3.20.108, 3.21.43 y 3.22.27, Saleor permitía a los usuarios de personal autenticados o a las aplicaciones (Apps) subir archivos arbitrarios, incluyendo archivos HTML y SVG maliciosos que contenían Javascript. Dependiendo de la estrategia de despliegue, estos archivos pueden ser servidos desde el mismo dominio que el panel de control sin restricciones, lo que lleva a la ejecución de scripts maliciosos en el contexto del navegador del usuario. Miembros del personal maliciosos podrían crear inyecciones de scripts para atacar a otros miembros del personal, posiblemente robando sus tokens de acceso y/o de actualización. Los usuarios son vulnerables si alojan los archivos multimedia dentro del mismo dominio que el panel de control, p. ej., el panel de control está en 'example.com/dashboard/' y los medios están bajo 'example.com/media/'. No tienen impacto si los archivos multimedia están alojados en un dominio diferente, p. ej., 'media.example.com'. Los usuarios tienen impacto si no devuelven una cabecera 'Content-Disposition: attachment' para los archivos multimedia. Los usuarios de Saleor Cloud no tienen impacto. Este problema ha sido parcheado en las versiones: 3.22.27, 3.21.43 y 3.20.108. Algunas soluciones provisionales están disponibles para aquellos que no pueden actualizar. Configure los servidores que alojan los archivos multimedia (p. ej., CDN o proxy inverso) para que devuelvan la cabecera Content-Disposition: attachment. Esto indica a los navegadores que descarguen el archivo en lugar de renderizarlo en el navegador. Evite que los servidores devuelvan archivos HTML y SVG. Configure una 'Content-Security-Policy' para los archivos multimedia, como 'Content-Security-Policy: default-src 'none'; base-uri 'none'; frame-ancestors 'none'; form-action 'none';'.

CVAT es una herramienta de anotación de video e imagen interactiva de código abierto para visión artificial. En las versiones 2.2.0 a la 2.54.0, un atacante es capaz de ejecutar JavaScript arbitrario en la sesión de la interfaz de usuario de CVAT de un usuario víctima, siempre que sea capaz de crear una etiqueta creada maliciosamente en una tarea o proyecto de CVAT, luego lograr que el usuario víctima edite esa etiqueta, o vea una forma que se refiera a esa etiqueta; y/o lograr que el usuario víctima cargue una imagen SVG creada maliciosamente al configurar un esqueleto. Esto le da al atacante acceso temporal a todos los recursos de CVAT a los que el usuario víctima puede acceder. La versión 2.55.0 corrige el problema.