Vulnerabilidades

Concorde, anteriormente conocida como Nexkey, es una bifurcación de la plataforma de microblogging federada Misskey. Debido a la falta de contramedidas CSRF y a una configuración incorrecta de las cookies para la autenticación de MediaProxy, existe una vulnerabilidad que permite eludir la autenticación de MediaProxy. En versiones anteriores a 12.25Q1.1, la cookie de autenticación no tiene el atributo SameSite. Esto permite a un atacante eludir la autenticación de MediaProxy y cargar cualquier imagen sin restricciones en determinadas circunstancias. En versiones anteriores a 12.24Q2.3, esta cookie también se utilizaba para autenticar la página de gestión de la cola de trabajos (bull-board), por lo que también se elude la autenticación bull-board. Esto puede permitir ataques que tengan un impacto significativo en la disponibilidad y la integridad. Las versiones afectadas son demasiado antiguas para estar cubiertas por este aviso, pero los encargados del mantenimiento de Concorde recomiendan encarecidamente no utilizar versiones anteriores. La versión 12.25Q1.1 contiene un parche. No existe un workaround eficaz aparte de actualizar.

Misskey es una plataforma de redes sociales federada de código abierto. A partir de la versión 12.109.0 y antes de la versión 2025.2.0-alpha.0, debido a la falta de protección CSRF y la falta de atributos de seguridad adecuados en las cookies de autenticación del panel de control de Bull, algunas de las API de bull-board pueden estar sujetas a ataques CSRF. Existe el riesgo de que esta vulnerabilidad se utilice para ataques con un impacto relativamente grande en la disponibilidad y la integridad, como la capacidad de agregar trabajos arbitrarios. Esta vulnerabilidad se solucionó en 2025.2.0-alpha.0. Como workaround, bloquee todo acceso al directorio `/queue` con un firewall de aplicaciones web (WAF).

Un desbordamiento de búfer basado en pila en Ivanti Connect Secure anterior a la versión 22.7R2.6 permite que un atacante autenticado remoto logre la ejecución remota de código.

La inyección de comandos del sistema operativo en la consola web de administración de Ivanti CSA anterior a la versión 5.0.5 permite que un atacante remoto autenticado con privilegios de administrador logre la ejecución remota de código.

Los permisos insuficientes en Ivanti Secure Access Client anterior a la versión 22.8R1 permiten que un atacante autenticado local elimine archivos arbitrarios.

El XSS reflejado en Ivanti Connect Secure anterior a la versión 22.7R2.6 y en Ivanti Policy Secure anterior a la versión 22.7R1.3 permite que un atacante remoto no autenticado obtenga privilegios de administrador. Se requiere la interacción del usuario.

Una clave codificada en Ivanti Connect Secure anterior a la versión 22.7R2.3 y en Ivanti Policy Secure anterior a la versión 22.7R1.3 permite que un atacante local autenticado con privilegios de administrador lea datos confidenciales.

El almacenamiento de información en texto plano en Ivanti Connect Secure anterior a la versión 22.7R2.6 e Ivanti Policy Secure anterior a la versión 22.7R1.3 permite que un atacante local autenticado con privilegios de administrador lea datos confidenciales.

Resumen del problema: los clientes que utilizan claves públicas sin procesar (RPK) RFC7250 para autenticar un servidor pueden no darse cuenta de que el servidor no se ha autenticado, porque los protocolos de enlace no se cancelan como se espera cuando se establece el modo de verificación SSL_VERIFY_PEER. Resumen del impacto: las conexiones TLS y DTLS que utilizan claves públicas sin procesar pueden ser vulnerables a ataques de intermediarios cuando los clientes no detectan un error de autenticación del servidor. Las RPK están deshabilitadas de forma predeterminada tanto en los clientes TLS como en los servidores TLS. El problema solo surge cuando los clientes TLS habilitan explícitamente el uso de RPK por parte del servidor y el servidor, a su vez, habilita el envío de una RPK en lugar de una cadena de certificados X.509. Los clientes afectados son aquellos que dependen de que el protocolo de enlace falle cuando la RPK del servidor no coincide con una de las claves públicas esperadas, al establecer el modo de verificación en SSL_VERIFY_PEER. Los clientes que habilitan claves públicas sin procesar del lado del servidor aún pueden descubrir que la verificación de clave pública sin procesar falló al llamar a SSL_get_verify_result(), y aquellos que lo hacen y toman las medidas adecuadas no se ven afectados. Este problema se introdujo en la implementación inicial de la compatibilidad con RPK en OpenSSL 3.2. Los módulos FIPS en 3.4, 3.3, 3.2, 3.1 y 3.0 no se ven afectados por este problema.

La inyección de código en Ivanti Connect Secure anterior a la versión 22.7R2.4 y en Ivanti Policy Secure anterior a la versión 22.7R1.3 permite que un atacante remoto autenticado con privilegios de administrador logre la ejecución remota de código.

Path traversal en Ivanti CSA anterior a la versión 5.0.5 permite que un atacante remoto no autenticado acceda a funcionalidad restringida.

El control externo de un nombre de archivo en Ivanti Connect Secure anterior a la versión 22.7R2.6 e Ivanti Policy Secure anterior a la versión 22.7R1.3 permite que un atacante remoto autenticado con privilegios de administrador lea archivos arbitrarios.