Vulnerabilidades

AVEVA Historian Server tiene una vulnerabilidad que, si se explota, podría permitir que un comando SQL malicioso se ejecute bajo los privilegios de un usuario interactivo de la interfaz REST de Historian que había sido diseñado socialmente por un malhechor para abrir una URL especialmente manipulada.

Una vulnerabilidad ha sido encontrada en itsourcecode Billing System 1.0 y clasificada como crítica. Una parte desconocida del archivo addbill.php afecta a esta vulnerabilidad. La manipulación del argumento id_propietarios conduce a la inyección SQL. Es posible iniciar el ataque de forma remota. El exploit ha sido divulgado al público y puede utilizarse.

En Xpdf 4.05 (y versiones anteriores), la información de encabezado no válida en una secuencia DCT (JPEG) puede generar una variable no inicializada en el decodificador DCT. El archivo PDF de prueba de concepto provoca un error de segmentación al intentar leer desde una dirección no válida.

Cilium es una solución de redes, observabilidad y seguridad con un plano de datos basado en eBPF. Antes de las versiones 1.14.14 y 1.15.8, una condición de ejecución en el agente Cilium puede hacer que el agente ignore las etiquetas que deberían aplicarse a un nodo. Esto, a su vez, podría provocar que las CiliumClusterwideNetworkPolicies destinadas a nodos con la etiqueta ignorada no se apliquen, lo que provocaría una omisión de políticas. Este problema se solucionó en Cilium v1.14.14 y v1.15.8. Como el problema subyacente depende de una condición de ejecución, los usuarios que no pueden actualizar pueden reiniciar el agente Cilium en los nodos afectados hasta que se confirme que las políticas afectadas funcionan como se esperaba.

zkvyper es un compilador de Vyper. A partir de la versión 1.3.12 y antes de la versión 1.5.3, dado que LLL IR no tiene restricciones de incompletitud de Turing, se compila en un bucle con una condición de salida mucho más tardía. Conduce a una pérdida de fondos u otro comportamiento no deseado si el cuerpo del bucle lo contiene. Sin embargo, otros casos de uso de la vida real, como iterar sobre una matriz, no se ven afectados. Ningún contrato se vio afectado por este problema, que se solucionó en la versión 1.5.3. Actualizar y reimplementar los contratos afectados es la única manera de evitar la vulnerabilidad.

Boa es un motor Javascript integrable y experimental escrito en Rust. A partir de la versión 0.16 y antes de la versión 0.19.0, una suposición incorrecta al manejar las operaciones `AsyncGenerator` de ECMAScript puede causar una excepción no detectada en ciertos scripts. La implementación de Boa de `AsyncGenerator` supone que el estado de un objeto `AsyncGenerator` no puede cambiar mientras se resuelve una promesa creada por métodos de `AsyncGenerator` como `%AsyncGeneratorPrototype%.next`, `%AsyncGeneratorPrototype%.return`, o `%AsyncGeneratorPrototype%.throw`. Sin embargo, un código cuidadosamente construido podría desencadenar una transición de estado desde un método getter para la propiedad "then" de la promesa, lo que hace que el motor falle en la afirmación de esta suposición, provocando una excepción no detectada. Esto podría usarse para crear un ataque de denegación de servicio en aplicaciones que ejecutan código ECMAScript arbitrario proporcionado por un usuario externo. La versión 0.19.0 tiene un parche para manejar correctamente este caso. Los usuarios que no puedan actualizar a la versión parcheada querrán usar `std::panic::catch_unwind` para garantizar que las excepciones causadas por el motor no afecten la disponibilidad de la aplicación principal.

Cilium es una solución de redes, observabilidad y seguridad con un plano de datos basado en eBPF. En la rama 1.15 anterior a 1.15.8 y en la rama 1.16 anterior a 1.16.1, las HTTPRoutes y GRPCRoutes de la API de puerta de enlace no siguen la precedencia de coincidencia especificada en la especificación de la API de puerta de enlace. En particular, los encabezados de solicitud coinciden antes que los métodos de solicitud, cuando la especificación describe que los métodos de solicitud deben respetarse antes de que coincidan los encabezados. Esto podría provocar un comportamiento inesperado con la seguridad. Este problema se solucionó en Cilium v1.15.8 y v1.16.1. No existe ninguna solución para este problema.

Se encontró una vulnerabilidad en itsourcecode Online Food Ordering System 1.0. Ha sido calificada como crítica. Una función desconocida del archivo /addcategory.php es afectada por esta vulnerabilidad. La manipulación del argumento cname conduce a la inyección de SQL. El ataque puede lanzarse de forma remota. El exploit ha sido divulgado al público y puede utilizarse.

En Xpdf 4.05 (y versiones anteriores), un bucle de objeto PDF en un recurso de patrón provoca una recursividad infinita y un desbordamiento de pila.

En Xpdf 4.05 (y versiones anteriores), las coordenadas muy grandes en un cuadro de página pueden provocar un desbordamiento de enteros y una división por cero.

ECMA-262 es la especificación del lenguaje para el lenguaje de scripting ECMAScript. Un problema en la especificación ECMAScript (JavaScript) de los generadores asíncronos, introducido por una refactorización de especificaciones de mayo de 2021, puede provocar una implementación incorrecta de una manera que podría presentarse como una vulnerabilidad de seguridad, como confusión de tipos y desreferencia de puntero. La maquinaria interna del generador asíncrono llama a funciones regulares de resolución de promesas en los objetos IteratorResult (`{ done, value }`) que crea, asumiendo que los objetos IteratorResult no serán habilitables en ese momento. Desafortunadamente, estos objetos IteratorResult heredan de `Object.prototype`, por lo que estos objetos IteratorResult pueden volverse compatibles, lo que desencadena un comportamiento arbitrario, incluido el reingreso a la maquinaria del generador asíncrono de una manera que viola algunas invariantes internas. La especificación ECMAScript es un estándar de vida y el problema se ha abordado en el momento de la divulgación pública de este aviso. Los implementadores del motor JavaScript deben consultar la especificación más reciente y actualizar sus implementaciones para cumplir con la sección "AsyncGenerator". ## Referencias: https://github.com/tc39/ecma262/commit/1e24a286d0a327d08e1154926b3ee79820232727 - https://bugzilla.mozilla.org/show_bug.cgi?id=1901411 - https://github.com/boa-dev/ boa/security/advisories/GHSA-f67q-wr6w-23jq - https://bugs.webkit.org/show_bug.cgi?id=275407 - https://issues.chromium.org/issues/346692561 - https:// www.cve.org/CVERecord?id=CVE-2024-7652

Flatpak es un marco de distribución y sandbox de aplicaciones Linux. Antes de las versiones 1.14.0 y 1.15.10, una aplicación Flatpak maliciosa o comprometida que utilizaba directorios persistentes podía acceder y escribir archivos fuera de lo que de otro modo tendría acceso, lo cual es un ataque a la integridad y la confidencialidad. Cuando se usa `persistent=subdir` en los permisos de la aplicación (representado como `--persist=subdir` en la interfaz de línea de comandos), eso significa que una aplicación que de otro modo no tendría acceso al directorio de inicio del usuario real verá un directorio de inicio vacío con un subdirectorio grabable `subdir`. Detrás de escena, este directorio es en realidad un montaje de enlace y los datos se almacenan en el directorio por aplicación como `~/.var/app/$APPID/subdir`. Esto permite que las aplicaciones existentes que no conocen el directorio por aplicación sigan funcionando según lo previsto sin acceso general al directorio de inicio. Sin embargo, la aplicación tiene acceso de escritura al directorio de la aplicación `~/.var/app/$APPID` donde está almacenado este directorio. Si el directorio de origen para la opción `persistent`/`--persist` se reemplaza por un enlace simbólico, la próxima vez que se inicie la aplicación, el montaje del enlace seguirá el enlace simbólico y montará lo que sea que apunte en el sandbox. Se puede proporcionar protección parcial contra esta vulnerabilidad parcheando Flatpak usando los parches en las confirmaciones ceec2ffc y 98f79773. Sin embargo, esto deja una condición de ejecución que podría ser aprovechada por dos instancias de una aplicación maliciosa que se ejecutan en paralelo. Cerrar la condición de ejecución requiere actualizar o parchear la versión de bubblewrap que usa Flatpak para agregar la nueva opción `--bind-fd` usando el parche y luego parchear Flatpak para usarlo. Si Flatpak se configuró en el momento de la compilación con `-Dsystem_bubbléwrap=bwrap` (1.15.x) o `--with-system-bubblewrap=bwrap` (1.14.x o anterior), o una opción similar, entonces la versión de El bubblewrap que necesita parchearse es una copia del sistema que se distribuye por separado, normalmente `/usr/bin/bwrap`. Esta configuración es la que se utiliza normalmente en las distribuciones de Linux. Si Flatpak se configuró en el momento de la compilación con `-Dsystem_bubbewrap=` (1.15.x) o con `-- without-system-bubblewrap` (1.14.x o anterior), entonces se incluye la versión empaquetada de bubblewrap. con Flatpak que hay que parchear. Normalmente se instala como `/usr/libexec/flatpak-bwrap`. Esta configuración es la predeterminada cuando se construye a partir del código fuente. Para la rama estable 1.14.x, estos cambios se incluyen en Flatpak 1.14.10. La versión empaquetada de bubblewrap incluida en esta versión se actualizó a 0.6.3. Para la rama de desarrollo 1.15.x, estos cambios se incluyen en Flatpak 1.15.10. La versión incluida de bubblewrap en esta versión es un subproyecto "wrap" de Meson, que se actualizó a 0.10.0. Las ramas 1.12.x y 1.10.x no se actualizarán para esta vulnerabilidad. Las distribuciones de SO con soporte a largo plazo deben respaldar los cambios individuales en sus versiones de Flatpak y bubblewrap, o actualizar a versiones más nuevas si su política de estabilidad lo permite. Como workaround, evite el uso de aplicaciones que utilicen el permiso "persistente" (`--persist`).