Vulnerabilidades

Se descubrió un problema en Marbella KR8s Dashcam FF 2.0.8 devices. A través del puerto 7777, sin necesidad de emparejar ni pulsar un botón físico, un atacante remoto puede desactivar la grabación, eliminar grabaciones o incluso desactivar la protección de la batería, lo que provoca que una batería descargada prácticamente impida el uso del coche. Durante el proceso de cambio de estos ajustes, no hay indicaciones ni sonidos en la dashcam que alerten al propietario de que alguien más está realizando dichos cambios.

Existe una vulnerabilidad de server-side request forgery en la función cecho.php de MedDream PACS Premium 7.3.5.860. Una solicitud HTTP especialmente manipulada puede provocar una SSRF. Un atacante puede realizar una solicitud HTTP no autenticada para activar esta vulnerabilidad.

Se encontró una falla en GLib. En plataformas Windows, puede producirse una denegación de servicio si una aplicación intenta generar un programa mediante líneas de comando largas.

En Malwarebytes Binisoft Windows Firewall Control anterior a 6.16.0.0, el instalador es vulnerable a la escalada de privilegios locales.

Se ha detectado una vulnerabilidad clasificada como problemática en la aplicación bsc Peru Cocktails 1.0.0 para Android. Este problema afecta a una funcionalidad desconocida del archivo AndroidManifest.xml del componente bsc.devy.peru_cocktails. Esta manipulación provoca la exportación incorrecta de componentes de la aplicación Android. Es posible lanzar el ataque en el host local. Se ha hecho público el exploit y puede que sea utilizado.

La vulnerabilidad de uso incorrecto de API privilegiadas en Beamsec PhishPro permite el abuso de privilegios. Este problema afecta a PhishPro: antes de 7.5.4.2.

Se encontró una vulnerabilidad crítica en Campcodes Online Recruitment Management System 1.0. Esta vulnerabilidad afecta a una funcionalidad desconocida del archivo /admin/ajax.php?action=save_recruitment_status. La manipulación del ID del argumento provoca una inyección SQL. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: HID: núcleo: garantizar que el búfer de informe asignado pueda contener el ID de informe reservado. Cuando no se utiliza el ID de informe, los controladores de transporte de bajo nivel esperan que el primer byte sea 0. Sin embargo, actualmente el búfer asignado no tiene en cuenta ese byte adicional, lo que significa que en lugar de tener 8 bytes garantizados para que la implementación funcione, solo tenemos 7.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: usb: gadget: configfs: Corrección de lectura OOB en escritura de cadena vacía. Al escribir una cadena vacía en los atributos sysfs 'qw_sign' o 'landingPage', las funciones de almacenamiento intentan acceder a page[l - 1] antes de validar que la longitud 'l' sea mayor que cero. Este parche corrige la vulnerabilidad añadiendo una comprobación al inicio de os_desc_qw_sign_store() y webusb_landingPage_store() para gestionar correctamente la entrada de longitud cero, retornando inmediatamente.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: net: libwx: eliminar la página duplicada page_pool_put_full_page(). page_pool_put_full_page() solo debe invocarse al liberar búferes Rx o al crear un skb si el tamaño es demasiado pequeño. En otros casos, es necesario reutilizar las páginas. Por lo tanto, se debe eliminar la página redundante. En el código original, las páginas doblemente libres provocan pánico en el núcleo:[ 876.949834] __irq_exit_rcu+0xc7/0x130 [ 876.949836] common_interrupt+0xb8/0xd0 [ 876.949838] [ 876.949838] [ 876.949840] asm_common_interrupt+0x22/0x40 [ 876.949841] RIP: 0010:cpuidle_enter_state+0xc2/0x420 [ 876.949843] Code: 00 00 e8 d1 1d 5e ff e8 ac f0 ff ff 49 89 c5 0f 1f 44 00 00 31 ff e8 cd fc 5c ff 45 84 ff 0f 85 40 02 00 00 fb 0f 1f 44 00 00 <45> 85 f6 0f 88 84 01 00 00 49 63 d6 48 8d 04 52 48 8d 04 82 49 8d [ 876.949844] RSP: 0018:ffffaa7340267e78 EFLAGS: 00000246 [ 876.949845] RAX: ffff9e3f135be000 RBX: 0000000000000002 RCX: 0000000000000000 [ 876.949846] RDX: 000000cc2dc4cb7c RSI: ffffffff89ee49ae RDI: ffffffff89ef9f9e [ 876.949847] RBP: ffff9e378f940800 R08: 0000000000000002 R09: 00000000000000ed [ 876.949848] R10: 000000000000afc8 R11: ffff9e3e9e5a9b6c R12: ffffffff8a6d8580 [ 876.949849] R13: 000000cc2dc4cb7c R14: 0000000000000002 R15: 0000000000000000 [ 876.949852] ? cpuidle_enter_state+0xb3/0x420 [ 876.949855] cpuidle_enter+0x29/0x40 [ 876.949857] cpuidle_idle_call+0xfd/0x170 [ 876.949859] do_idle+0x7a/0xc0 [ 876.949861] cpu_startup_entry+0x25/0x30 [ 876.949862] start_secondary+0x117/0x140 [ 876.949864] common_startup_64+0x13e/0x148 [ 876.949867] [ 876.949868] ---[ end trace 0000000000000000 ]--- [ 876.949869] ------------[ cut here ]------------ [ 876.949870] list_del corruption, ffffead40445a348->next is NULL [ 876.949873] WARNING: CPU: 14 PID: 0 at lib/list_debug.c:52 __list_del_entry_valid_or_report+0x67/0x120 [ 876.949875] Modules linked in: snd_hrtimer(E) bnep(E) binfmt_misc(E) amdgpu(E) squashfs(E) vfat(E) loop(E) fat(E) amd_atl(E) snd_hda_codec_realtek(E) intel_rapl_msr(E) snd_hda_codec_generic(E) intel_rapl_common(E) snd_hda_scodec_component(E) snd_hda_codec_hdmi(E) snd_hda_intel(E) edac_mce_amd(E) snd_intel_dspcfg(E) snd_hda_codec(E) snd_hda_core(E) amdxcp(E) kvm_amd(E) snd_hwdep(E) gpu_sched(E) drm_panel_backlight_quirks(E) cec(E) snd_pcm(E) drm_buddy(E) snd_seq_dummy(E) drm_ttm_helper(E) btusb(E) kvm(E) snd_seq_oss(E) btrtl(E) ttm(E) btintel(E) snd_seq_midi(E) btbcm(E) drm_exec(E) snd_seq_midi_event(E) i2c_algo_bit(E) snd_rawmidi(E) bluetooth(E) drm_suballoc_helper(E) irqbypass(E) snd_seq(E) ghash_clmulni_intel(E) sha512_ssse3(E) drm_display_helper(E) aesni_intel(E) snd_seq_device(E) rfkill(E) snd_timer(E) gf128mul(E) drm_client_lib(E) drm_kms_helper(E) snd(E) i2c_piix4(E) joydev(E) soundcore(E) wmi_bmof(E) ccp(E) k10temp(E) i2c_smbus(E) gpio_amdpt(E) i2c_designware_platform(E) gpio_generic(E) sg(E) [ 876.949914] i2c_designware_core(E) sch_fq_codel(E) parport_pc(E) drm(E) ppdev(E) lp(E) parport(E) fuse(E) nfnetlink(E) ip_tables(E) ext4 crc16 mbcache jbd2 sd_mod sfp mdio_i2c i2c_core txgbe ahci ngbe pcs_xpcs libahci libwx r8169 phylink libata realtek ptp pps_core video wmi [ 876.949933] CPU: 14 UID: 0 PID: 0 Comm: swapper/14 Kdump: loaded Tainted: G W E 6.16.0-rc2+ #20 PREEMPT(voluntary) [ 876.949935] Tainted: [W]=WARN, [E]=UNSIGNED_MODULE [ 876.949936] Hardware name: Micro-Star International Co., Ltd. MS-7E16/X670E GAMING PLUS WIFI (MS-7E16), BIOS 1.90 12/31/2024 [ 876.949936] RIP: 0010:__list_del_entry_valid_or_report+0x67/0x120 [ 876.949938] Code: 00 00 00 48 39 7d 08 0f 85 a6 00 00 00 5b b8 01 00 00 00 5d 41 5c e9 73 0d 93 ff 48 89 fe 48 c7 c7 a0 31 e8 89 e8 59 7c b3 ff <0f> 0b 31 c0 5b 5d 41 5c e9 57 0d 93 ff 48 89 fe 48 c7 c7 c8 31 e8 [ 876.949940] RSP: 0018:ffffaa73405d0c60 EFLAGS: 00010282 [ 876.949941] RAX: 0000000000000000 RBX: ffffead40445a348 RCX: 0000000000000000 [ 876.949942] RDX: 0000000000000105 RSI: 00000 ---truncated---

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: netfs: Corregir la ejecución entre la finalización de la escritura en caché y el establecimiento de ALL_QUEUED Cuando netfslib emite subsolicitudes, estas empiezan a procesarse inmediatamente y pueden completarse antes de que lleguemos al final de la función de emisión. Al final de la función de emisión, establecemos NETFS_RREQ_ALL_QUEUED para indicar al recolector que no vamos a emitir más subsolicitudes y que puede realizar las notificaciones finales y la limpieza. Ahora bien, esto no es un problema si la solicitud es sincrónica (NETFS_RREQ_OFFLOAD_COLLECTION no está establecido), ya que la recopilación de resultados se realizará en el subproceso y se nos garantiza una oportunidad para ejecutar el recolector. Sin embargo, si la solicitud es asincrónica, la recopilación se activa principalmente al finalizar las subsolicitudes que la ponen en cola en una cola de trabajo. Ahora bien, aquí puede producirse una ejecución si el subproceso de la aplicación establece ALL_QUEUED después de que finalice la última subsolicitud. Esto se puede lograr más fácilmente con el código copy2cache (usado por Ceph), donde, en la rutina de recopilación de una solicitud de lectura, se genera una solicitud de escritura asíncrona para copiar datos a la caché. Los folios se agregan a la solicitud de escritura a medida que se desbloquean, pero puede haber un retraso antes de que se configure ALL_QUEUED, ya que las subsolicitudes de escritura pueden completarse antes de que lleguemos a ese punto. Si todas las subsolicitudes de escritura han finalizado para el punto ALL_QUEUED, no ocurren más eventos y la recopilación nunca se realiza, dejando la solicitud colgada. Para solucionar esto, ponga en cola el recopilador después de configurar ALL_QUEUED. Esto es un poco forzado y podría ser suficiente si no existen subsolicitudes. También agregue un punto de seguimiento para realizar una referencia cruzada de ambas solicitudes en una operación de copia a solicitud y agregue un seguimiento al punto de seguimiento netfs_rreq para indicar la configuración de ALL_QUEUED.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: tracing/osnoise: corrige fallo en timerlat_dump_stack() Hemos observado pánicos en el kernel al usar timerlat con guardado de pila, con la siguiente salida de dmesg: memcpy: desbordamiento de búfer detectado: escritura de 88 bytes de tamaño de búfer 0 WARNING: CPU: 2 PID: 8153 at lib/string_helpers.c:1032 __fortify_report+0x55/0xa0 CPU: 2 UID: 0 PID: 8153 Comm: timerlatu/2 Kdump: loaded Not tainted 6.15.3-200.fc42.x86_64 #1 PREEMPT(lazy) Call Trace: ? trace_buffer_lock_reserve+0x2a/0x60 __fortify_panic+0xd/0xf __timerlat_dump_stack.cold+0xd/0xd timerlat_dump_stack.part.0+0x47/0x80 timerlat_fd_read+0x36d/0x390 vfs_read+0xe2/0x390 ? syscall_exit_to_user_mode+0x1d5/0x210 ksys_read+0x73/0xe0 do_syscall_64+0x7b/0x160 ? exc_page_fault+0x7e/0x1a0 entry_SYSCALL_64_after_hwframe+0x76/0x7e __timerlat_dump_stack() construye la entrada de la pila ftrace de la siguiente manera: struct stack_entry *entry; ... memcpy(&entry->caller, fstack->calls, size); entry->size = fstack->nr_entries; Desde el commit e7186af7fb26 ("rastreo: Agregar la lógica de FORTIFY_SOURCE a la estructura de eventos kernel_stack"), struct stack_entry marca su campo de llamada con __counted_by(size). Al ejecutar memcpy, entry->size contiene información no válida del búfer de anillo, que en algunas circunstancias es cero, lo que desencadena un pánico del núcleo por desbordamiento del búfer. Rellene el campo de tamaño antes de ejecutar memcpy para que la comprobación de fuera de los límites conozca el tamaño correcto. Esto es análogo a __ftrace_trace_stack().