Vulnerabilidades

Una vulnerabilidad fue encontrada en Nakiami Mellivora hasta 2.1.x y clasificada como problemática. La función print_user_ip_log del archivo include/layout/user.inc.php del componente Admin Panel es afectada por esta vulnerabilidad. La manipulación del argumento $entry['ip'] conduce a cross site scripting. El ataque se puede lanzar de forma remota. La actualización a la versión 2.2.0 puede solucionar este problema. El nombre del parche es e0b6965f8dde608a3d2621617c05695eb406cbb9. Se recomienda actualizar el componente afectado. El identificador asociado de esta vulnerabilidad es VDB-216955.

LiuOS es un pequeño proyecto de Python destinado a imitar las funciones de un sistema operativo normal. La versión 0.1.0 y anteriores de LiuOS permiten a un atacante establecer la variable de entorno GITHUB_ACTIONS en cualquier valor que no sea nulo o verdadero y omitir las comprobaciones de autenticación. Este problema se solucionó en la última confirmación (c658b4f3e57258acf5f6207a90c2f2169698ae22) al requerir que var se establezca en verdadero, lo que provoca que se ejecute un script de prueba en lugar de poder iniciar sesión. Un posible workaround es verificar la variable de entorno GITHUB_ACTIONS y establecerla en "" (sin comillas) para anular la variable y forzar verificaciones de credenciales.

efs-utils es un conjunto de utilidades para Amazon Elastic File System (EFS). Existe un posible problema de condición de ejecución dentro del asistente de montaje de Amazon EFS en las versiones efs-utils v1.34.3 y anteriores. Cuando se utiliza TLS para montar sistemas de archivos, el asistente de montaje asigna un puerto local para que stunnel reciba conexiones NFS antes de aplicar el túnel TLS. En las versiones afectadas, las operaciones de montaje simultáneas pueden asignar el mismo puerto local, lo que provoca operaciones de montaje fallidas o una asignación inadecuada de los puntos de montaje locales de un cliente de EFS a los sistemas de archivos EFS de ese cliente. Este problema se solucionó en la versión v1.34.4. No se recomienda ningún workaround. Recomendamos a los usuarios afectados que actualicen la versión instalada de efs-utils a la v1.34.4 o posterior.

Elrond-GO es una implementación del protocolo Elrond Network. Las versiones anteriores a la 1.3.50 están sujetas a un problema de procesamiento en el que los nodos se ven afectados al intentar procesar una transacción retransmitida entre fragmentos con datos de transacción de implementación de contrato inteligente. El problema era una mala correlación entre los cachés de transacciones y el componente de procesamiento. Si la transacción mencionada anteriormente se envió con más gas del requerido, el resultado del contrato inteligente (transacción SCR) que debería haber devuelto el gas sobrante, se habría agregado erróneamente a un caché que la unidad de procesamiento no consideró. El nodo dejó de certificar ante notario los bloques de metacadena. En realidad, la solución fue extender la búsqueda de transacciones SCR en todos los demás cachés si no se encontraba en el caché fragmentado correcto (esperado). No se conocen workarounds en este momento. Este problema se solucionó en la versión 1.3.50.

authentik es un proveedor de identidad de código abierto centrado en la flexibilidad y la versatilidad. En versiones anteriores a 2022.10.4 y 2022.11.4, cualquier usuario autenticado puede crear una cantidad arbitraria de cuentas a través de los flujos predeterminados. Esto omitiría cualquier política en una situación en la que no sea deseable que los usuarios creen nuevas cuentas por sí mismos. Esto también puede afectar a otras aplicaciones, ya que estas nuevas cuentas básicas existirían en toda la infraestructura de SSO. De forma predeterminada, no se puede iniciar sesión en las cuentas recién creadas ya que no existe ningún restablecimiento de contraseña. Sin embargo, es probable que la mayoría de las instalaciones habiliten el restablecimiento de contraseñas. Esta vulnerabilidad pertenece al contexto de usuario utilizado en el flujo de configuración de usuario predeterminado, /api/v3/flows/instances/default-user-settings-flow/execute/. Este problema se solucionó en las versiones 2022.10.4 y 2022.11.4.

La validación de DNSSEC no se realiza correctamente. Un atacante puede hacer que este paquete informe una validación exitosa de registros no válidos controlados por el atacante. El nombre del propietario de los RR RRSIG no está validado, lo que permite a un atacante presentar el RRSIG de un dominio controlado por el atacante en una respuesta para cualquier otro dominio.

La validación de DNSSEC no se realiza correctamente. Un atacante puede hacer que este paquete informe una validación exitosa de registros no válidos controlados por el atacante. Las claves públicas DNSSEC raíz no se validan, lo que permite a un atacante presentar una clave root autofirmada y una cadena de delegación.

Debido a afirmaciones de tipos no verificadas, los mensajes elaborados con fines malintencionados pueden provocar pánico, que pueden utilizarse como un vector de denegación de servicio.

Las firmas digitales XML generadas y validadas con este paquete utilizan SHA-1, lo que puede permitir a un atacante crear entradas que provoquen colisiones de hash dependiendo de su control sobre la entrada.

authentik es un proveedor de identidades de código abierto centrado en la flexibilidad y la versatilidad. Las versiones anteriores a 2022.11.4 y 2022.10.4 son vulnerables a una autenticación incorrecta. La reutilización de tokens en las URL de invitación conduce a eludir el control de acceso mediante el uso de un flujo de inscripción diferente al proporcionado. La vulnerabilidad permite a un atacante que conoce diferentes nombres de flujos de invitación (por ejemplo, `inscripción-invitación-prueba` y `inscripción-invitación-admin`) a través de diferentes enlaces de invitación o mediante fuerza bruta registrarse a través de una única URL de invitación para cualquier enlace de invitación válido recibido (incluso puede ser una URL para un tercer flujo siempre que sea una invitación válida), ya que el token utilizado en la sección "Invitaciones" de la interfaz de administración NO cambia cuando se selecciona un "flujo de inscripción" diferente a través de la interfaz y NO está vinculado al flujo seleccionado, por lo que será válido para cualquier flujo cuando se utilice. Este problema se solucionó en authentik 2022.11.4,2022.10.4 y 2022.12.0. Solo se ven afectadas las configuraciones que usan invitaciones y tienen múltiples flujos de inscripción con etapas de invitación que otorgan diferentes permisos. La configuración predeterminada no es vulnerable, como tampoco lo son las configuraciones con un único flujo de inscripción. Como workaround, se pueden agregar datos fijos a las invitaciones que se pueden verificar en el flujo para rechazar solicitudes. Alternativamente, se puede utilizar un identificador con alta entropía (como un UUID) como flow slug, mitigando el vector de ataque al disminuir exponencialmente la posibilidad de descubrir otros flujos.

** NO SOPORTADO CUANDO ASIGNADO ** Se encontró una vulnerabilidad clasificada como problemática en cloudsync. La función getItem del archivo src/main/java/cloudsync/connector/LocalFilesystemConnector.java es afectada por esta vulnerabilidad. La manipulación conduce a path traversal. Es posible lanzar el ataque al servidor local. El nombre del parche es 3ad796833398af257c28e0ebeade68518e0e612a. Se recomienda aplicar un parche para solucionar este problema. El identificador asociado de esta vulnerabilidad es VDB-216919. NOTA: Esta vulnerabilidad solo afecta a productos que ya no son compatibles con el mantenedor.

Dragonfly es una librería de gestión de dependencias en tiempo de ejecución de Java. Dragonfly v0.3.0-SNAPSHOT no configura DocumentBuilderFactory para evitar ataques de entidades externas XML (XXE). Este problema se solucionó en 0.3.1-SNAPSHOT. Como solución alternativa, dado que Dragonfly solo analiza las versiones XML `SNAPSHOT` que se están resolviendo, esta vulnerabilidad se puede evitar al no intentar resolver las versiones `SNAPSHOT`.