Vulnerabilidades

RedisBloom agrega un conjunto de estructuras de datos probabilísticos a Redis. A partir de la versión 2.0.0 y anteriores a la versión 2.4.7 y 2.6.10, los usuarios autenticados pueden usar el comando `CF.RESERVE` para activar una aserción en tiempo de ejecución y la finalización del proceso del servidor Redis. El problema se solucionó en RedisBloom 2.4.7 y 2.6.10.

Cross site scripting en Zoom Desktop Client para Linux anteriores a la versión 5.17.10 pueden permitir que un usuario autenticado realice una denegación de servicio a través del acceso a la red.

La gestión inadecuada de privilegios en el instalador de Zoom Desktop Client para macOS anterior a la versión 5.17.10 puede permitir que un usuario privilegiado realice una escalada de privilegios a través del acceso local.

Se descubrió un problema en ROS2 Galactic Geochelone en ROS_VERSION 2 y ROS_PYTHON_VERSION 3, que permite a atacantes remotos ejecutar código arbitrario a través de paquetes o nodos dentro del sistema ROS2.

Se ha descubierto una vulnerabilidad de carga de archivos arbitrarios en ROS2 (Robot Operating System 2) Galactic Geochelone ROS_VERSION 2 y ROS_PYTHON_VERSION 3, que permite a los atacantes ejecutar código arbitrario, provocar una denegación de servicio (DoS) y obtener información confidencial a través de una carga útil manipulada para el Mecanismo de carga de archivos del sistema ROS2, incluida la funcionalidad del servidor para manejar la carga de archivos y los procesos de validación asociados.

Se ha identificado una vulnerabilidad de deserialización insegura en ROS2 Galactic Geochelone ROS_VERSION 2 y ROS_PYTHON_VERSION 3, que permite a los atacantes ejecutar código arbitrario y obtener información confidencial a través de entradas manipuladas en los componentes de serialización y deserialización de datos, los mecanismos de comunicación entre procesos y las interfaces de comunicación de red.

PsiTransfer es una solución para compartir archivos autohospedada y de código abierto. Antes de la versión 2.2.0, la ausencia de restricciones en el endpoint, que permitía a los usuarios crear una ruta para cargar un archivo en una distribución de archivos, permitía a un atacante agregar archivos arbitrarios a la distribución. La vulnerabilidad permite a un atacante influir en los usuarios que llegan después de ellos a la distribución de archivos y deslizar los archivos de la víctima con una firma maliciosa o de phishing. La versión 2.2.0 contiene un parche para el problema. CVE-2024-31453 permite a los usuarios violar la integridad de un depósito de archivos y cargar nuevos archivos allí, mientras que la vulnerabilidad con el número CVE-2024-31454 permite a los usuarios violar la integridad de un solo archivo cargado por otro usuario escribiendo datos allí y no le permite cargar nuevos archivos al depósito. Por lo tanto, las vulnerabilidades se reproducen de manera diferente, requieren diferentes recomendaciones de seguridad y afectan a diferentes objetos de la lógica empresarial de la aplicación.

La gestión inadecuada de privilegios en el instalador de Zoom Desktop Client para Windows anterior a la versión 5.17.10 puede permitir que un usuario autenticado realice una escalada de privilegios a través del acceso local.

RedisBloom agrega un conjunto de estructuras de datos probabilísticos a Redis. A partir de la versión 2.0.0 y anteriores a las versiones 2.4.7 y 2.6.10, los usuarios autenticados pueden utilizar comandos `CF.LOADCHUNK` especialmente manipulados para realizar un desbordamiento del montón, lo que puede provocar la ejecución remota de código. El problema se solucionó en RedisBloom 2.4.7 y 2.6.10.

yt-dlp es una bifurcación de youtube-dl con funciones y correcciones adicionales. El parche que solucionó CVE-2023-40581 intentó evitar RCE al usar `--exec` con `%q` reemplazando comillas dobles con dos comillas dobles. Sin embargo, este escape no es suficiente y aún permite la expansión de las variables de entorno. La compatibilidad con la expansión de la plantilla de salida en `--exec`, junto con este comportamiento vulnerable, se agregó a `yt-dlp` en la versión 2021.04.11. La versión 2024.04.09 de yt-dlp soluciona este problema al escapar correctamente de `%`. Los reemplaza con `%%cd:~,%`, una variable que se expande a nada, dejando solo el porcentaje principal. Se recomienda actualizar yt-dlp a la versión 2024.04.09 lo antes posible. Además, siempre tenga cuidado al usar `--exec`, porque si bien esta vulnerabilidad específica ha sido parcheada, usar entradas no validadas en los comandos del shell es intrínsecamente peligroso. Para los usuarios de Windows que no pueden actualizar, evite usar cualquier expansión de plantilla de salida en `--exec` que no sea `{}` (ruta de archivo); si se necesita expansión en `--exec`, verifique que los campos que está usando no contengan `"`, `|` o `&`; y/o en lugar de usar `--exec`, escriba la información json y cargue los campos de él en su lugar.

Rust es un lenguaje de programación. Se notificó al Grupo de Trabajo de Respuesta de Seguridad de Rust que la librería estándar de Rust anterior a la versión 1.77.2 no escapaba correctamente a los argumentos al invocar archivos por lotes (con las extensiones `bat` y `cmd`) en Windows usando el `Comando`. Un atacante capaz de controlar los argumentos pasados al proceso generado podría ejecutar comandos de shell arbitrarios evitando el escape. La gravedad de esta vulnerabilidad es crítica para quienes invocan archivos por lotes en Windows con argumentos que no son de confianza. Ninguna otra plataforma o uso se ve afectado. Las API `Command::arg` y `Command::args` establecen en su documentación que los argumentos se pasarán al proceso generado tal cual, independientemente del contenido de los argumentos, y no serán evaluados por un shell. Esto significa que debería ser seguro pasar entradas que no sean de confianza como argumento. En Windows, la implementación de esto es más compleja que en otras plataformas, porque la API de Windows solo proporciona una única cadena que contiene todos los argumentos del proceso generado, y depende del proceso generado dividirlos. La mayoría de los programas utilizan el argv estándar en tiempo de ejecución de C, que en la práctica da como resultado una forma mayoritariamente consistente de dividir los argumentos. Sin embargo, una excepción es `cmd.exe` (utilizado, entre otras cosas, para ejecutar archivos por lotes), que tiene su propia lógica de división de argumentos. Eso obliga a la librería estándar a implementar un escape personalizado para los argumentos pasados a archivos por lotes. Desafortunadamente, se informó que nuestra lógica de escape no era lo suficientemente exhaustiva y era posible pasar argumentos maliciosos que darían como resultado una ejecución arbitraria del shell. Debido a la complejidad de `cmd.exe`, no identificamos una solución que escapara correctamente de los argumentos en todos los casos. Para mantener nuestras garantías de API, mejoramos la solidez del código de escape y cambiamos la API `Command` para que devuelva un error [`InvalidInput`][4] cuando no puede escapar de forma segura de un argumento. Este error se emitirá al generar el proceso. La solución está incluida en Rust 1.77.2. Tenga en cuenta que la nueva lógica de escape para archivos por lotes es conservadora y podría rechazar argumentos válidos. Aquellos que implementan el escape ellos mismos o solo manejan entradas confiables en Windows también pueden usar el método `CommandExt::raw_arg` para evitar la lógica de escape de la librería estándar.

Minder de Stacklok es una plataforma de seguridad de la cadena de suministro de software de código abierto. Una refactorización en el commit `5c381cf` agregó la capacidad de registrar repositorios de GitHub en un proyecto sin especificar un proveedor específico. Desafortunadamente, a la consulta SQL para hacerlo le faltaba paréntesis y seleccionaba un repositorio aleatorio. Este problema se solucionó en la solicitud de extracción 2941. Como workaround, revierta antes de `5c381cf` o avance más allá de `2eb94e7`.