Vulnerabilidades

Karmada es un sistema de administración de Kubernetes que permite a los usuarios ejecutar aplicaciones nativas de la nube en múltiples clústeres y nubes de Kubernetes. Antes de la versión 1.12.0, tanto en karmadactl como en karmada-operator, es posible proporcionar una ruta del sistema de archivos o una URL HTTP(s) para recuperar las definiciones de recursos personalizadas (CRD) que necesita Karmada. Las CRD se descargan como un archivo tar comprimido y son vulnerables a una vulnerabilidad TarSlip. Un atacante capaz de proporcionar un archivo CRD malicioso en una inicialización de Karmada podría escribir archivos arbitrarios en rutas arbitrarias del sistema de archivos. A partir de la versión 1.12.0 de Karmada, al procesar archivos CRD personalizados, se utiliza la verificación del archivo CRD para mejorar la solidez del sistema de archivos. Hay una workaround disponible. Alguien que necesite configurar el indicador `--crd` para personalizar los archivos CRD necesarios para la inicialización de Karmada al usar `karmadactl init` para configurar Karmada puede inspeccionar manualmente los archivos CRD para verificar si contienen secuencias como `../` que alterarían las rutas de los archivos, para determinar si incluyen potencialmente archivos maliciosos. Al usar karmada-operator para configurar Karmada, uno debe actualizar su karmada-operator a una de las versiones fijas.

Trix es un editor de texto enriquecido que permite ver lo que se obtiene para la escritura diaria. Las versiones anteriores a la 2.1.12 son vulnerables a cross site scripting al pegar código malicioso en el campo de enlace. Un atacante podría engañar al usuario para que copie y pegue una URL maliciosa `javascript:` como un enlace que ejecutaría código JavaScript arbitrario dentro del contexto de la sesión del usuario, lo que podría provocar que se realicen acciones no autorizadas o que se revele información confidencial. Los usuarios deben actualizar a la versión 2.1.12 o posterior del editor Trix para recibir un parche. Además de actualizar, los usuarios afectados pueden deshabilitar los navegadores que no admitan una Política de seguridad de contenido (CSP) como workaround para esta y otras vulnerabilidades de cross site scripting. Establezca políticas de CSP como script-src 'self' para garantizar que solo se ejecuten scripts alojadas en el mismo origen y prohíba explícitamente las scripts en línea mediante script-src-elem.

PhpSpreadsheet es una librería PHP para leer y escribir archivos de hojas de cálculo. Las versiones anteriores a 3.7.0, 2.3.5, 2.1.6 y 1.29.7 son vulnerables a ataques de cross site scripting no autorizado reflejado en el constructor de la clase `Downloader`. Mediante el script `/vendor/phpoffice/phpspreadsheet/samples/download.php`, un atacante puede realizar un ataque de cross site scripting. Las versiones 3.7.0, 2.3.5, 2.1.6 y 1.29.7 contienen un parche para el problema.

PhpSpreadsheet es una librería PHP para leer y escribir archivos de hojas de cálculo. Las versiones anteriores a 3.7.0, 2.3.5, 2.1.6 y 1.29.7 son vulnerables a ataques de cross site scripting no autorizado reflejado en el archivo `Accounting.php`. Mediante el script `/vendor/phpoffice/phpspreadsheet/samples/Wizards/NumberFormat/Accounting.php`, un atacante puede realizar un ataque de cross site scripting. Las versiones 3.7.0, 2.3.5, 2.1.6 y 1.29.7 contienen un parche para el problema.

PhpSpreadsheet es una librería PHP para leer y escribir archivos de hojas de cálculo. Las versiones anteriores a 3.7.0, 2.3.5, 2.1.6 y 1.29.7 son vulnerables a ataques de cross site scripting no autorizado reflejado en el archivo `Currency.php`. Mediante el script `/vendor/phpoffice/phpspreadsheet/samples/Wizards/NumberFormat/Currency.php`, un atacante puede realizar un ataque de cross site scripting. Las versiones 3.7.0, 2.3.5, 2.1.6 y 1.29.7 contienen un parche para el problema.

Karmada es un sistema de administración de Kubernetes que permite a los usuarios ejecutar aplicaciones nativas de la nube en varios clústeres y nubes de Kubernetes. Antes de la versión 1.12.0, los clústeres en modo PULL registrados con el comando `karmadactl register` tienen privilegios excesivos para acceder a los recursos del plano de control. Al abusar de estos permisos, un atacante capaz de autenticarse como agente de karmada en un clúster de karmada podría obtener privilegios administrativos sobre todo el sistema de federación, incluidos todos los clústeres miembros registrados. Desde Karmada v1.12.0, el comando `karmadactl register` restringe los permisos de acceso de los clústeres miembros del modo pull a los recursos del plano de control. De esta manera, un atacante capaz de autenticarse como agente de karmada no puede controlar otros clústeres miembros en Karmada. Como workaround, se pueden restringir los permisos de acceso de los clústeres miembros del modo pull a los recursos del plano de control de acuerdo con los documentos de permisos de componentes de Karmada.

Un problema en el sistema de gestión de quejas de CodeAstro v.1.0 permite que un atacante remoto escale privilegios a través del componente delete_e.php.

GoCD es un servidor de entrega continua. Las versiones de GoCD anteriores a la 24.5.0 son vulnerables a la escalada de privilegios de administrador debido a la autorización incorrecta del acceso a la función de interfaz de usuario "XML de configuración" del administrador y su API asociada. Un usuario interno malintencionado o un usuario autenticado existente de GoCD con una cuenta de usuario de GoCD existente podría aprovechar esta vulnerabilidad para acceder a información destinada únicamente a los administradores de GoCD o para escalar sus privilegios a los de un administrador de GoCD de manera persistente. No es posible que se abuse de esta vulnerabilidad antes de la autenticación o el inicio de sesión. El problema se solucionó en GoCD 24.5.0. Los usuarios de GoCD que no pueden realizar una actualización inmediata pueden mitigar este problema utilizando un proxy inverso, WAF o similar para bloquear externamente las rutas de acceso con un prefijo `/go/rails/`. El bloqueo de esta ruta no provoca ninguna pérdida de funcionalidad. Si no es posible actualizar o bloquear la ruta anterior, considere reducir la base de usuarios de GoCD a un conjunto de usuarios más confiable, incluida la desactivación temporal del uso de complementos como el complemento de inicio de sesión de invitado, que permite un acceso anónimo limitado como una cuenta de usuario normal.

GoCD es un servidor de entrega continua. Las versiones de GoCD 18.9.0 a 24.4.0 (incluida) pueden permitir que los administradores de GoCD abusen de la función de "script posterior a la copia de seguridad" de la configuración de copia de seguridad para ejecutar potencialmente scripts arbitrarios en el servidor o contenedor de alojamiento como usuario de GoCD, en lugar de scripts preconfigurados. En la práctica, el impacto de esta vulnerabilidad es limitado, ya que en la mayoría de las configuraciones, un usuario que puede iniciar sesión en la interfaz de usuario de GoCD como administrador también tiene permisos de administración de host para el host/contenedor en el que se ejecuta GoCD, con el fin de administrar el almacenamiento de artefactos y otras opciones de configuración a nivel de servicio. Además, dado que un administrador de GoCD tiene la capacidad de configurar y programar tareas de canalización en todos los agentes de GoCD disponibles para el servidor, la funcionalidad fundamental de GoCD permite la ejecución coordinada de tareas similar a la de los scripts posteriores a la copia de seguridad. Sin embargo, en entornos restringidos donde la administración del host está separada del rol de un administrador de GoCD, esto puede ser inesperado. El problema se solucionó en GoCD 24.5.0. Los scripts posteriores a la copia de seguridad ya no se pueden ejecutar desde ciertas ubicaciones confidenciales del servidor GoCD. No se conocen workarounds.

GoCD es un servidor de entrega continua. Las versiones de GoCD 16.7.0 a 24.4.0 (incluida) pueden permitir que los administradores de GoCD abusen de una característica oculta/no utilizada del repositorio de configuración (canalizaciones como código) para permitir la inyección de XML External Entity (XXE) en el servidor de GoCD, que se ejecutará cuando GoCD escanee periódicamente los repositorios de configuración en busca de actualizaciones de canalizaciones, o sea activada por un administrador o administrador del repositorio de configuración. En la práctica, el impacto de esta vulnerabilidad es limitado, en la mayoría de los casos sin combinarse con otra vulnerabilidad, ya que solo los administradores (super) de GoCD tienen la capacidad de aprovechar esta vulnerabilidad. Por lo general, un administrador malintencionado de GoCD puede causar un daño mucho mayor que el que puede causar con la inyección de XXE. El problema se solucionó en GoCD 24.5.0. Como workaround, evite el acceso externo desde el servidor de GoCD a ubicaciones arbitrarias utilizando algún tipo de control de salida del entorno.

GoCD es un servidor de entrega continua. Las versiones de GoCD anteriores a la 24.4.0 pueden permitir que los "administradores de grupo" de GoCD abusen de la capacidad de editar la configuración XML sin procesar de los grupos que administran para activar la inyección de entidad externa XML (XXE) en el servidor de GoCD. En teoría, la vulnerabilidad XXE puede dar lugar a ataques adicionales, como SSRF, divulgación de información desde el servidor de GoCD y navegación de directorios, aunque no se ha demostrado explícitamente que estos ataques adicionales sean explotables. Este problema se solucionó en GoCD 24.5.0. Hay algunas workarounds disponibles. Se puede bloquear temporalmente el acceso a las rutas `/go/*/pipelines/snippet` desde un proxy inverso externo o WAF si los usuarios "administradores de grupo" no necesitan la funcionalidad para editar el XML de las canalizaciones directamente (en lugar de usar la interfaz de usuario o un repositorio de configuración). También se puede impedir el acceso externo desde el servidor de GoCD a ubicaciones arbitrarias utilizando algún tipo de control de salida del entorno.

PhpSpreadsheet es una librería PHP para leer y escribir archivos de hojas de cálculo. Las versiones anteriores a 3.7.0, 2.3.5, 2.1.6 y 1.29.7 no tienen ningún tipo de desinfección en el archivo `/vendor/phpoffice/phpspreadsheet/samples/Engineering/Convert-Online.php`, lo que genera la posibilidad de un ataque de cross site scripting. Las versiones 3.7.0, 2.3.5, 2.1.6 y 1.29.7 contienen un parche para el problema.