Vulnerabilidades

Vulnerabilidad de autorización faltante en Tobias Conrad Get Better Reviews for WooCommerce. Este problema afecta a Get Better Reviews for WooCommerce: desde n/a hasta 4.0.6.

La vulnerabilidad de gestión de privilegios inadecuada en IqbalRony WP User Switch permite la escalada de privilegios. Este problema afecta a WP User Switch: desde n/a hasta 1.1.0.

Vulnerabilidad de Cross-Site Request Forgery (CSRF) en WPJohnny, zerOneIT Comment Reply Email permite cross-site scripting (XSS). Este problema afecta a Comment Reply Email: desde n/a hasta 1.3.

En el kernel de Linux se ha resuelto la siguiente vulnerabilidad: bpf: Fix reg_set_min_max corrupción de fake_reg Juan informó que después de hacer algunos cambios al buzzer [0] e implementar una nueva estrategia de fuzzing guiada por cobertura, notaron lo siguiente en una de las sondas : [...] 13: (79) r6 = *(u64 *)(r0 +0) ; R0=map_value(ks=4,vs=8) R6_w=escalar() 14: (b7) r0 = 0 ; R0_w=0 15: (b4) w0 = -1 ; R0_w=0xffffffff 16: (74) w0 >>= 1 ; R0_w=0x7ffffffff 17: (5c) w6 &= w0 ; R0_w=0x7fffffff R6_w=escalar(smin=smin32=0,smax=umax=umax32=0x7fffffff,var_off=(0x0; 0x7fffffff)) 18: (44) w6 |= 2 ; R6_w=scalar(smin=umin=smin32=umin32=2,smax=umax=umax32=0x7fffffff,var_off=(0x2; 0x7ffffffd)) 19: (56) if w6 != 0x7ffffffd goto pc+1 VIOLACIÓN DE INVARIANTES REG (true_reg2) : violación de límites de rango u64=[0x7fffffff, 0x7ffffffd] s64=[0x7fffffff, 0x7ffffffd] u32=[0x7fffffff, 0x7ffffffd] s32=[0x7fffffff, 0x7ffffffd] var_off=(0x7fffffff, 0x0) INVARIANTES DEL REG (false_reg1): violación de los límites de rango u64 =[0x7fffffff, 0x7ffffffd] s64=[0x7fffffff, 0x7ffffffd] u32=[0x7fffffff, 0x7ffffffd] s32=[0x7fffffff, 0x7ffffffd] var_off=(0x7fffffff, 0x0) VIOLACIÓN DE INVARIANTES REG (false_reg2): st tnum no está sincronizado con los límites de rango u64 =[0x0, 0xffffffffffffffff] s64=[0x80000000000000000, 0x7ffffffffffffff] u32=[0x0, 0xffffffff] s32=[0x80000000, 0x7ffffff] var_off=(0x7ffffffff, 0x0) 19: 6_w=0x7fffffff 20: (95) salida del 19 al 21: R0=0x7fffffff R6=escalar(smin=umin=smin32=umin32=2,smax=umax=smax32=umax32=0x7ffffffe,var_off=(0x2; 0x7ffffffd)) R7=map_ptr(ks=4,vs=8) R9=ctx () R10=fp0 fp-24=map_ptr(ks=4,vs=8) fp-40=mmmmmmmm 21: R0=0x7fffffff R6=escalar(smin=umin=smin32=umin32=2,smax=umax=smax32=umax32 =0x7ffffffe,var_off=(0x2; 0x7ffffffd)) R7=map_ptr(ks=4,vs=8) R9=ctx() R10=fp0 fp-24=map_ptr(ks=4,vs=8) fp-40=mmmmmmmm 21: (14) w6 -= 2147483632; R6_w=scalar(smin=umin=umin32=2,smax=umax=0xffffffff,smin32=0x80000012,smax32=14,var_off=(0x2; 0xfffffffd)) 22: (76) si w6 s>= 0xe goto pc+1; R6_w=scalar(smin=umin=umin32=2,smax=umax=0xffffffff,smin32=0x80000012,smax32=13,var_off=(0x2; 0xfffffffd)) 23: (95) salida de 22 a 24: R0=0x7fffffff R6_w= 14 R7=map_ptr(ks=4,vs=8) R9=ctx() R10=fp0 fp-24=map_ptr(ks=4,vs=8) fp-40=mmmmmmmm 24: R0=0x7ffffffff R6_w=14 R7= map_ptr(ks=4,vs=8) R9=ctx() R10=fp0 fp-24=map_ptr(ks=4,vs=8) fp-40=mmmmmmmm 24: (14) w6 -= 14 ; R6_w=0 [...] Lo que se puede ver aquí es una violación de invariante de registro en la línea 19. Después del binario o en la línea 18, el verificador sabe que el bit 2 está establecido pero no sabe nada sobre el resto del contenido que fue cargado desde un valor de mapa, es decir, el rango es [2,0x7fffffff] con var_off=(0x2; 0x7ffffffd). Cuando en la línea 19 el verificador analiza la rama, divide los estados de registro en reg_set_min_max() en los registros de la rama verdadera (true_reg1, true_reg2) y los registros de la rama falsa (false_reg1, false_reg2). Dado que la prueba es w6! = 0x7ffffffd, src_reg es una constante conocida. Internamente, el verificador crea un registro "falso" inicializado como escalar al valor de 0x7ffffffd y luego lo pasa a reg_set_min_max(). Ahora, para la línea 19, es matemáticamente imposible tomar la rama falsa de este programa, sin embargo, el verificador la analiza. Es imposible porque el segundo bit de r6 se establecerá debido a la operación anterior o y la constante en la condición tiene ese bit sin configurar (hex(fd) == binario(1111 1101). Cuando el verificador analiza por primera vez el valor falso/caída -a través de la rama, calculará una intersección entre el var_off de r6 y la constante. Esto se debe a que el verificador crea un registro "falso" inicializado con el valor de la constante. El resultado de la intersección luego refina ambos registros en regs_refine_cond_op(): [...] t = tnum_intersect(tnum_subreg(reg1->var_off), tnum_subreg(reg2->var_off));

El complemento Form Vibes para WordPress es vulnerable a la inyección SQL a través del parámetro 'fv_export_data' en todas las versiones hasta la 1.4.10 incluida debido a un escape insuficiente en el parámetro proporcionado por el usuario y a la falta de preparación suficiente en la consulta SQL existente. Esto hace posible que los atacantes autenticados, con acceso a nivel de suscriptor y superior, agreguen consultas SQL adicionales a consultas ya existentes que pueden usarse para extraer información confidencial de la base de datos.

Los complementos premium para Elementor para WordPress son vulnerables a Cross-Site Scripting Almacenada a través del widget de texto animado del complemento en todas las versiones hasta la 4.10.36 incluida debido a una sanitización de entrada insuficiente y a un escape de salida en los atributos proporcionados por el usuario. Esto hace posible que atacantes autenticados, con acceso de nivel de colaborador y superior, inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.

En el kernel de Linux, se resolvió la siguiente vulnerabilidad: io_uring/sqpoll: solución alternativa a una posible pérdida de memoria de auditoría. kmemleak se queja de que hay una pérdida de memoria relacionada con el manejo de la conexión: objeto sin referencia 0xffff0001093bdf00 (tamaño 128): comm "iou-sqp-455 ", pid 457, jiffies 4294894164 volcado hexadecimal (primeros 32 bytes): 02 00 fa ea 7f 00 00 01 00 00 00 00 00 00 00 00 ................ 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................ retroceso (crc 2e481b1a): [<00000000c0a26af4>] kmemleak_alloc+0x30/0x38 [<000000009c30bb45>] kmalloc_trace+0x228/0x358 [<000000009da9d39f>] __audit_sockaddr+0xd0/0x138 [<0000000089a93e34>] move_addr_to_kernel+0x1a0/0x1f8 [<000000000b4e80e6>] connect_prep+0x1ec/0x2d4 [<00000000abfbcd99>] io_submit_sqes+0x588/0x1e48 [<00000000e7c25e07>] io_sq_thread+0x8a4/0x10e4 [<00000000d999b491>] ret_from_fork+0x10/0x20 lo que puede suceder si: 1) El tipo de comando hace algo en el lado de preparación que desencadena una llamada de auditoría. 2) El hilo no ha realizado ninguna operación antes de esto que haya desencadenado una llamada de auditoría dentro de ->issue(), donde tenemos audit_uring_entry() y audit_uring_exit(). Evite esto emitiendo una operación NOP general antes de que SQPOLL haga algo.

En el kernel de Linux, se resolvió la siguiente vulnerabilidad: crypto: hisilicon/sec: corrige la pérdida de memoria para la liberación de recursos de segundo El AIV es uno de los recursos de SEC. Al liberar recursos, es necesario liberar los recursos AIV al mismo tiempo. De lo contrario, se produce una pérdida de memoria. La liberación de recursos aiv se agrega a la función de liberación de recursos sec.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: rastreo: crea pruebas de generación de eventos solo como módulos. Los módulos de prueba de generación de eventos kprobes y synth agregan eventos y bloquean (obtienen una referencia) esas referencias de archivos de eventos en la función de inicio del módulo, y desbloquean y elimínelo en la función de salida del módulo. Esto se debe a que están diseñados para jugar como módulos. Si hacemos que esos módulos estén integrados, esos eventos quedan bloqueados en el kernel y nunca se eliminan. Esto provoca una falla en la autoprueba del evento kprobe como se muestra a continuación. [97.349708] ------------[ cortar aquí ]------------ [ 97.353453] ADVERTENCIA: CPU: 3 PID: 1 en kernel/trace/trace_kprobe.c :2133 kprobe_trace_self_tests_init+0x3f1/0x480 [ 97.357106] Módulos vinculados en: [ 97.358488] CPU: 3 PID: 1 Comm: swapper/0 No contaminado 6.9.0-g699646734ab5-dirty #14 [ 97.361556] Nombre de hardware: PC estándar (i440FX + PIIX, 1996), BIOS 1.15.0-1 01/04/2014 [ 97.363880] RIP: 0010:kprobe_trace_self_tests_init+0x3f1/0x480 [ 97.365538] Código: a8 24 08 82 e9 ae fd ff ff 90 0f 0b 90 48 c7 c7 e5 aa 0b 82 e9 ee fc ff ff 90 0f 0b 90 48 c7 c7 2d 61 06 82 e9 8e fd ff 90 <0f> 0b 90 48 c7 c7 33 0b 0c 82 89 c6 e8 6e 03 1f ff 41 ff c7 e9 0 [ 97.370429] RSP: 0000:ffffc90000013b50 EFLAGS: 00010286 [ 97.371852] RAX: 00000000ffffff0 RBX: ffff888005919c00 RCX: 0000000000000000 [ 97.3 73829] RDX: ffff888003f40000 RSI: ffffffff8236a598 RDI: ffff888003f40a68 [ 97.375715] RBP: 00000000000000000 R08: 0000000000000001 R09: 000000000 [97.377675] R10: ffffffff811c9ae5 R11: ffffffff8120c4e0 R12: 0000000000000000 [ 97.379591] R13: 00000000000000001 R14: 0000000000000015 R15: 0000000000 000000 [ 97.381536] FS: 0000000000000000(0000) GS:ffff88807dcc0000(0000) knlGS:000000000000000000 [ 97.383813] CS: 0010 DS: 0000 ES: 0000 CR0: 0000000080050033 [ 97.385449] CR2: 0000000000000000 CR3: 0000000002244000 CR4: 00000000000006b0 [ 97.387347] DR0: 0000000000 000000 DR1: 0000000000000000 DR2: 0000000000000000 [ 97.389277] DR3: 0000000000000000 DR6: 00000000fffe0ff0 DR7: 0000000000000400 [ 97.3911 96] Seguimiento de llamadas: [97.391967] < TAREA> [ 97.392647] ? __advertir+0xcc/0x180 [ 97.393640] ? kprobe_trace_self_tests_init+0x3f1/0x480 [97.395181]? report_bug+0xbd/0x150 [97.396234]? handle_bug+0x3e/0x60 [97.397311]? exc_invalid_op+0x1a/0x50 [97.398434]? asm_exc_invalid_op+0x1a/0x20 [97.399652]? trace_kprobe_is_busy+0x20/0x20 [97.400904]? tracing_reset_all_online_cpus+0x15/0x90 [97.402304]? kprobe_trace_self_tests_init+0x3f1/0x480 [97.403773]? init_kprobe_trace+0x50/0x50 [ 97.404972] do_one_initcall+0x112/0x240 [ 97.406113] do_initcall_level+0x95/0xb0 [ 97.407286] ? kernel_init+0x1a/0x1a0 [97.408401] do_initcalls+0x3f/0x70 [97.409452] kernel_init_freeable+0x16f/0x1e0 [97.410662] ? rest_init+0x1f0/0x1f0 [97.411738] kernel_init+0x1a/0x1a0 [97.412788] ret_from_fork+0x39/0x50 [97.413817] ? rest_init+0x1f0/0x1f0 [ 97.414844] ret_from_fork_asm+0x11/0x20 [ 97.416285] [ 97.417134] sello de evento irq: 13437323 [ 97.418376] hardirqs habilitado por última vez en (13437337): ffffff8110bc0c>] console_unlock+0x11c/0x150 [ 97.421285] hardirqs deshabilitado por última vez en (13437370): [] console_unlock+0x101/0x150 [ 97.423838] softirqs habilitado por última vez en (13437366): [] handle_softirqs+0x23f/0x2a0 [ 97.426450] softirqs se deshabilitó por última vez en (13437393 ): [] __irq_exit_rcu+0x66/0xd0 [ 97.428850] ---[ end trace 0000000000000000 ]--- Y además, como no podemos limpiar el archivo Dynamic_event, ftracetest también falla. Para evitar estos problemas, cree estas pruebas solo como módulos.

En el kernel de Linux se ha resuelto la siguiente vulnerabilidad: netpoll: Corrige condición de ejecución en netpoll_owner_active KCSAN detectó una condición de ejecución en netpoll: ERROR: KCSAN: data-race en net_rx_action / netpoll_send_skb escribe (marcado) en 0xffff8881164168b0 de 4 bytes por interrupción en CPU 10: net_rx_action (./include/linux/netpoll.h:90 net/core/dev.c:6712 net/core/dev.c:6822) leído en 0xffff8881164168b0 de 4 bytes por tarea 1 en la CPU 2 : netpoll_send_skb (net/core/netpoll.c:319 net/core/netpoll.c:345 net/core/netpoll.c:393) netpoll_send_udp (net/core/netpoll.c:?) valor cambiado: 0x0000000a -> 0xffffffff Esto sucede porque netpoll_owner_active() necesita verificar si la CPU actual es la propietaria del bloqueo, tocando napi->poll_owner de forma no atómica. El campo ->poll_owner contiene la CPU actual que mantiene el bloqueo. Utilice una lectura atómica para comprobar si el propietario de la encuesta es la CPU actual.

En el kernel de Linux, se resolvió la siguiente vulnerabilidad: netrom: corrige una pérdida de memoria en nr_heartbeat_expiry() syzbot informó una pérdida de memoria en nr_create() [0]. El commit 409db27e3a2e ("netrom: Reparar el use-after-free de un socket de escucha") agregó sock_hold() a la función nr_heartbeat_expiry(), donde a) un socket tiene un indicador SOCK_DESTROY ob) un socket de escucha tiene un indicador SOCK_DEAD. Pero en el caso "a", cuando se establece el indicador SOCK_DESTROY, el descriptor de archivo ya se ha cerrado y se ha llamado a la función nr_release(). Por lo tanto, no tiene sentido mantener el recuento de referencias porque nadie llamará a otro nr_destroy_socket() y lo pondrá como en el caso "b". nr_connect nr_establecer_data_link nr_start_heartbeat nr_release interruptor (nr->estado) caso NR_STATE_3 nr->estado = NR_STATE_2 sock_set_flag(sk, SOCK_DESTROY); nr_rx_frame nr_process_rx_frame interruptor (nr->estado) caso NR_STATE_2 nr_state2_machine() nr_disconnect() nr_sk(sk)->estado = NR_STATE_0 sock_set_flag(sk, SOCK_DEAD) nr_heartbeat_expiry interruptor (nr->estado) caso NR_STATE_0 if (sock_flag(sk, OCK_DESTROY) || (sk->sk_state == TCP_LISTEN && sock_flag(sk, SOCK_DEAD))) sock_hold() // ( !!! ) nr_destroy_socket() Para solucionar la pérdida de memoria, llamemos a sock_hold() solo para un socket de escucha. Encontrado por InfoTeCS en nombre del Centro de verificación de Linux (linuxtesting.org) con Syzkaller. [0]: https://syzkaller.appspot.com/bug?extid=d327a1f3b12e1e206c16

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: net/tcp_ao: No filtrar ao_info en la ruta de error. Parece que lo introduje junto con TCP_AO_CMDF_AO_REQUIRED, en la versión 5 [1] de los parches TCP-AO. Es bastante frustrante que, teniendo todas estas autopruebas que he escrito, ejecutar kmemtest y kcov siempre estuviera pendiente. [1]: https://lore.kernel.org/netdev/20230215183335.800122-5-dima@arista.com/