Vulnerabilidades

Owncast es un servidor de chat y transmisión de video en vivo de código abierto, autohospedado, descentralizado y de un solo usuario. En las versiones 0.1.2 y anteriores, una política CORS indulgente permite a los atacantes realizar una solicitud de origen cruzado, leyendo información privilegiada. Esto se puede utilizar para filtrar la contraseña de administrador. El commit 9215d9ba0f29d62201d3feea9e77dcd274581624 soluciona este problema.

Una vulnerabilidad fue encontrada en Campcodes Complete Online DJ Booking System 1.0 y clasificada como problemática. Una función desconocida del archivo /admin/aboutus.php es afectada por esta vulnerabilidad. La manipulación del argumento título de la página conduce a cross site scripting. El ataque se puede lanzar de forma remota. El exploit ha sido divulgado al público y puede utilizarse. A esta vulnerabilidad se le asignó el identificador VDB-257473.

La vulnerabilidad de Cross Site Scripting (XSS) en la aplicación Sourcecodester Workout Journal 1.0 permite a los atacantes ejecutar código arbitrario a través de los parámetros nombre y apellido en /add-user.php.

Una vulnerabilidad ha sido encontrada en Campcodes Complete Online DJ Booking System 1.0 y clasificada como problemática. Una función desconocida del archivo /admin/admin-profile.php es afectada por esta vulnerabilidad. La manipulación del argumento adminname conduce a cross site scripting. Es posible lanzar el ataque de forma remota. El exploit ha sido divulgado al público y puede utilizarse. El identificador de esta vulnerabilidad es VDB-257472.

datahub-helm proporciona los gráficos de Kubernetes Helm para implementar Datahub y sus dependencias en un clúster de Kubernetes. A partir de la versión 0.1.143 y antes de la versión 0.2.182, debido a problemas de configuración en el gráfico de timón, si había una implementación inicial exitosa durante un período de tiempo limitado, posiblemente se creaban tokens de acceso personal con una clave secreta predeterminada. Dado que la clave secreta es un valor estático y disponible públicamente, alguien podría inspeccionar el algoritmo utilizado para generar tokens de acceso personal y generar los suyos propios para una instancia. La implementación con la autenticación del servicio de metadatos habilitada habría sido difícil durante la ventana de lanzamientos. Si alguien eludió la configuración del timón y configuró manualmente la autenticación del servicio de metadatos para que se habilite usando variables de entorno directamente, esto omitiría la lógica de generación automática para Kubernetes Secrets y DataHub GMS usaría de forma predeterminada la clave de firma especificada estáticamente en application.yml. La mayoría de las implementaciones probablemente no intentaron eludir la configuración del timón para habilitar la autenticación del servicio de metadatos durante este tiempo, por lo que el impacto probablemente sea limitado. Cualquier implementación con la autenticación del servicio de metadatos habilitada debe garantizar que sus valores secretos estén correctamente aleatorizados. La versión 0.2.182 contiene un parche para este problema. Como workaround, se puede restablecer la clave de firma del token para que sea un valor aleatorio, lo que invalidará los tokens de acceso personal activos.

Se descubrió que OneBlog v2.3.4 contiene una vulnerabilidad de cross-site scripting (XSS) almacenado a través del módulo Notice Manage.

Una vulnerabilidad de cross-site scripting (XSS) almacenado en OneBlog v2.3.4 permite a los atacantes ejecutar scripts web o HTML arbitrarios a través de un payload manipulado inyectado en el parámetro Lista de categorías en el módulo Lab.

Se descubrió que OneBlog v2.3.4 contiene una vulnerabilidad de cross-site scripting (XSS) almacenado a través del componente {{rootpath}}/links.

Se descubrió que OneBlog v2.3.4 contiene una vulnerabilidad de cross-site scripting (XSS) almacenado a través del módulo de administración de usuarios.

Se encontró una vulnerabilidad en Campcodes Complete Online DJ Booking System 1.0. Ha sido declarada problemática. Esta vulnerabilidad afecta a un código desconocido del archivo /admin/booking-search.php. La manipulación del argumento searchdata conduce a cross site scripting. El ataque se puede iniciar de forma remota. El exploit ha sido divulgado al público y puede utilizarse. VDB-257470 es el identificador asignado a esta vulnerabilidad.

Se encontró una vulnerabilidad en Campcodes Complete Online DJ Booking System 1.0. Ha sido calificada como problemática. Este problema afecta a un procesamiento desconocido del archivo /admin/booking-bwdates-reports-details.php. La manipulación del argumento fromdate conduce a cross site scripting. El ataque puede iniciarse de forma remota. El exploit ha sido divulgado al público y puede utilizarse. El identificador asociado de esta vulnerabilidad es VDB-257471.

Se descubrió que OneBlog v2.3.4 contiene una vulnerabilidad de cross-site scripting (XSS) almacenado a través del módulo de administración de privilegios.