Vulnerabilidades

Se descubrió un problema en Django 5.1 anterior a 5.1.4, 5.0 anterior a 5.0.10 y 4.2 anterior a 4.2.17. El uso directo de la búsqueda django.db.models.fields.json.HasKey, cuando se utiliza una base de datos Oracle, está sujeto a inyección SQL si se utilizan datos no confiables como valor de lhs. (Las aplicaciones que utilizan la búsqueda jsonfield.has_key mediante __ no se ven afectadas).

Se descubrió un problema en Django 5.1 anterior a 5.1.4, 5.0 anterior a 5.0.10 y 4.2 anterior a 4.2.17. El método strip_tags() y el filtro de plantilla striptags están sujetos a un posible ataque de denegación de servicio a través de ciertas entradas que contienen secuencias grandes de entidades HTML incompletas anidadas.

El complemento KiviCare – Clinic & Patient Management System (EHR) para WordPress es vulnerable a la inyección SQL a través del parámetro 'sort[]' de la acción AJAX static_data_list en todas las versiones hasta la 3.6.4 incluida, debido a un escape insuficiente en el parámetro proporcionado por el usuario y a la falta de preparación suficiente en la consulta SQL existente. Esto permite que los atacantes autenticados, con acceso de nivel médico/recepcionista y superior, agreguen consultas SQL adicionales a las consultas ya existentes que se pueden usar para extraer información confidencial de la base de datos.

El complemento KiviCare – Clinic & Patient Management System (EHR) para WordPress es vulnerable a la inyección SQL a través del parámetro 'service_list[0][service_id]' de la acción AJAX get_widget_payment_options en todas las versiones hasta la 3.6.4 incluida, debido a un escape insuficiente en el parámetro proporcionado por el usuario y a la falta de preparación suficiente en la consulta SQL existente. Esto permite que los atacantes autenticados, con acceso de nivel personalizado y superior, agreguen consultas SQL adicionales a las consultas ya existentes que se pueden usar para extraer información confidencial de la base de datos.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: netfilter: ipset: agrega comprobación de rango faltante en bitmap_ip_uadt Cuando tb[IPSET_ATTR_IP_TO] no está presente pero tb[IPSET_ATTR_CIDR] existe, los valores de ip e ip_to se intercambian ligeramente. Por lo tanto, la comprobación de rango para ip debería realizarse más tarde, pero esta parte falta y parece que ocurre la vulnerabilidad. Por lo tanto, deberíamos agregar las comprobaciones de rango faltantes y eliminar las comprobaciones de rango innecesarias.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: initramfs: evitar el desbordamiento del búfer del nombre de archivo El campo de nombre de archivo de initramfs se define en Documentation/driver-api/early-userspace/buffer-format.rst como: 37 cpio_file := ALGN(4) + cpio_header + filename + "\0" + ALGN(4) + data ... 55 ============== =================== ========================== 56 Nombre de campo Tamaño del campo Significado 57 ============= =================== ========================== ... 70 c_namesize 8 bytes Longitud del nombre de archivo, final \0 Al extraer un archivo cpio de initramfs, el manejador de ruta do_name() del núcleo asume una ruta terminada en cero en @collected, pasándola directamente a filp_open() / init_mkdir() / init_mknod(). Si una entrada cpio especialmente diseñada lleva un nombre de archivo que no termina en cero y es seguida por memoria no inicializada, entonces se puede crear un archivo con caracteres finales que representan la memoria no inicializada. La capacidad de crear una entrada initramfs implicaría ya tener control total del sistema, por lo que el desbordamiento del búfer no debería considerarse una vulnerabilidad de seguridad. Adjunte la salida del siguiente script bash a un initramfs existente y observe cualquier ruta /initramfs_test_fname_overrunAA* creada. Por ejemplo, ./reproducer.sh | Es más fácil observar memoria no inicializada distinta de cero cuando se comprime la salida, ya que desbordará el montón asignado @out_buf en __gunzip(), en lugar del bloque initrd_start+initrd_size. ---- reproducter.sh ---- nilchar="A" # cambia a "\0" para terminar correctamente en cero / rellenar magic="070701" ino=1 mode=$(( 0100777 )) uid=0 gid=0 nlink=1 mtime=1 filesize=0 devmajor=0 devminor=1 rdevmajor=0 rdevminor=0 csum=0 fname="initramfs_test_fname_overrun" namelen=$(( ${#fname} + 1 )) # más uno para tener en cuenta el terminador printf "%s%08x%08x%08x%08x%08x%08x%08x%08x%08x%08x%08x%08x%08x%08x%s" \ $magic $ino $mode $uid $gid $nlink $mtime $filesize \ $devmajor $devminor $rdevmajor $rdevminor $namelen $csum $fname termpadlen=$(( 1 + ((4 - ((110 + $namelen) & 3)) % 4) )) printf "%.s${nilchar}" $(seq 1 $termpadlen) ---- reproducer.sh ---- Los campos de nombre de archivo de enlace simbólico manejados en do_symlink() no se desbordarán más allá del segmento de datos, debido a la terminación explícita en cero del objetivo del enlace simbólico. Corrija el desbordamiento del búfer de nombre de archivo abortando el FSM initramfs si alguna entrada cpio no lleva un terminador en cero en el desplazamiento esperado (name_len - 1).

El complemento KiviCare – Clinic & Patient Management System (EHR) para WordPress es vulnerable a la inyección SQL a través del parámetro 'visit_type[service_id]' de la acción AJAX tax_calculated_data en todas las versiones hasta la 3.6.4 incluida, debido a un escape insuficiente en el parámetro proporcionado por el usuario y a la falta de preparación suficiente en la consulta SQL existente. Esto permite que atacantes no autenticados agreguen consultas SQL adicionales a consultas ya existentes que se pueden usar para extraer información confidencial de la base de datos.

El complemento Pojo Forms para WordPress es vulnerable a la ejecución arbitraria de códigos cortos mediante la acción AJAX form_preview_shortcode en todas las versiones hasta la 1.4.7 incluida. Esto se debe a que el software permite a los usuarios ejecutar una acción que no valida correctamente un valor antes de ejecutar do_shortcode. Esto hace posible que los atacantes autenticados, con acceso de nivel de suscriptor y superior, ejecuten códigos cortos arbitrarios. Esto se solucionó parcialmente en la versión 1.4.8.

El tema Soledad para WordPress es vulnerable a la inclusión de archivos locales en todas las versiones hasta la 8.5.9 incluida, a través de varias funciones como penci_archive_more_post_ajax_func, penci_more_post_ajax_func y penci_more_featured_post_ajax_func. Esto hace posible que atacantes no autenticados incluyan y ejecuten archivos PHP en el servidor, lo que permite la ejecución de cualquier código PHP en esos archivos. Esto se puede utilizar para eludir los controles de acceso, obtener datos confidenciales o lograr la ejecución de código en casos en los que se puedan cargar e incluir archivos PHP. La explotabilidad de esto está limitada a Windows.

El complemento Verowa Connect para WordPress es vulnerable a la inyección SQL a través del parámetro 'search_string' en todas las versiones hasta la 3.0.1 incluida, debido a un escape insuficiente en el parámetro proporcionado por el usuario y a la falta de preparación suficiente en la consulta SQL existente. Esto permite que atacantes no autenticados agreguen consultas SQL adicionales a consultas ya existentes que se pueden usar para extraer información confidencial de la base de datos.

El complemento ARMember – Membership Plugin, Content Restriction, Member Levels, User Profile & User signup para WordPress es vulnerable a la ejecución de códigos cortos arbitrarios en todas las versiones hasta la 4.0.51 incluida. Esto se debe a que el software permite a los usuarios ejecutar una acción que no valida correctamente un valor antes de ejecutar do_shortcode. Esto hace posible que atacantes autenticados, con acceso de nivel de suscriptor y superior, ejecuten códigos cortos arbitrarios.

El complemento Online Booking & Scheduling Calendar for WordPress by vcita para WordPress es vulnerable a la modificación no autorizada de datos debido a una falta de verificación de capacidad en la función vcita_save_user_data_callback() en todas las versiones hasta la 4.5.1 incluida. Esto permite que atacantes autenticados, con acceso de nivel de suscriptor y superior, inyecten scripts web maliciosos y actualicen configuraciones.