Vulnerabilidades

Audiobookshelf es un servidor de audiolibros y podcasts autoalojado. Existe una vulnerabilidad de cross-site scripting (XSS) almacenado en las versiones anteriores a la 2.32.0 de la aplicación, la cual permite la ejecución arbitraria de JavaScript a través de metadatos de biblioteca maliciosos. Atacantes con privilegios de modificación de biblioteca pueden ejecutar código en los navegadores de los usuarios víctimas, lo que podría llevar al secuestro de sesión y a la exfiltración de datos. La versión 2.32.0 contiene un parche para el problema.

Fleet es un software de gestión de dispositivos de código abierto. En versiones anteriores a la 4.80.1, Fleet generaba PINs de bloqueo y borrado de dispositivos utilizando un algoritmo predecible basado únicamente en la marca de tiempo Unix actual. Debido a que no se utilizaba ninguna clave secreta o entropía adicional, el PIN resultante podría derivarse potencialmente si se conoce la hora aproximada en que se bloqueó el dispositivo. Los comandos de bloqueo y borrado de dispositivos de Fleet generan un PIN de 6 dígitos que se muestra a los administradores para desbloquear un dispositivo. En las versiones afectadas, este PIN se derivaba de forma determinista de la marca de tiempo actual. Un atacante con posesión física de un dispositivo bloqueado y conocimiento de la hora aproximada en que se emitió el comando de bloqueo podría, teóricamente, predecir el PIN correcto dentro de una ventana de búsqueda limitada. Sin embargo, la explotación exitosa está limitada por múltiples factores: Se requiere acceso físico al dispositivo, se debe conocer la hora aproximada de bloqueo, el sistema operativo impone límites de velocidad en los intentos de entrada del PIN, los intentos tendrían que distribuirse, y las operaciones de borrado del dispositivo normalmente se completarían antes de que se pudieran realizar suficientes intentos. Como resultado, este problema no permite la explotación remota, el compromiso de toda la flota o la elusión de los controles de autenticación de Fleet. La versión 4.80.1 contiene un parche. No se conocen soluciones alternativas disponibles.

Fleet es software de gestión de dispositivos de código abierto. En versiones anteriores a la 4.80.1, una vulnerabilidad en la API de configuración de Fleet podría exponer las credenciales de la cuenta de servicio de Google Calendar a usuarios autenticados con roles de bajo privilegio. Esto podría permitir el acceso no autorizado a los recursos de Google Calendar asociados con la cuenta de servicio. Fleet devuelve datos de configuración a través de un endpoint de API que es accesible para usuarios autenticados, incluidos aquellos con el rol de menor privilegio 'Observer'. En las versiones afectadas, las credenciales de la cuenta de servicio de Google Calendar no se ofuscaron correctamente antes de ser devueltas. Como resultado, un usuario de bajo privilegio podría recuperar el material de la clave privada de la cuenta de servicio. Dependiendo de cómo esté configurada la integración de Google Calendar, esto podría permitir el acceso no autorizado a datos del calendario u otros recursos de Google Workspace asociados con la cuenta de servicio. Este problema no permite la escalada de privilegios dentro de Fleet ni el acceso a la funcionalidad de gestión de dispositivos. La versión 4.80.1 corrige el problema. Si una actualización inmediata no es posible, los administradores deben eliminar la integración de Google Calendar de Fleet y rotar las credenciales de la cuenta de servicio de Google afectadas.

Fleet es un software de gestión de dispositivos de código abierto. En versiones anteriores a la 4.80.1, una vulnerabilidad en el manejo de Pub/Sub de MDM de Android de Fleet podría permitir que solicitudes no autenticadas desencadenen eventos de desinscripción de dispositivos. Esto puede resultar en la eliminación no autorizada de dispositivos Android individuales de la gestión de Fleet. Si el MDM de Android está habilitado, un atacante podría enviar una solicitud manipulada al endpoint de Pub/Sub de Android para desinscribir un dispositivo Android objetivo de Fleet sin autenticación. Este problema no otorga acceso a Fleet, no permite la ejecución de comandos ni proporciona visibilidad de los datos del dispositivo. El impacto se limita a la interrupción de la gestión de dispositivos Android para el dispositivo afectado. La versión 4.80.1 corrige el problema. Si una actualización inmediata no es posible, los usuarios afectados de Fleet deberían deshabilitar temporalmente el MDM de Android.

Audiobookshelf es un servidor de audiolibros y podcasts autoalojado. Una vulnerabilidad de cross-site scripting (XSS) existe en versiones anteriores a la 0.12.0-beta de la aplicación móvil de Audiobookshelf que permite la ejecución arbitraria de JavaScript a través de metadatos de biblioteca maliciosos. Atacantes con privilegios de modificación de biblioteca (o control sobre un feed RSS de podcast malicioso) pueden ejecutar código en los WebViews de los usuarios víctimas, lo que podría llevar al secuestro de sesión, exfiltración de datos y acceso no autorizado a las API de dispositivos nativos. La versión 0.12.0-beta de audiobookshelf-app soluciona el problema.

El plugin User Registration & Membership para WordPress es vulnerable a una omisión de autenticación en versiones hasta la 5.1.2, inclusive. Esto se debe a una autenticación incorrecta en la función 'register_member'. Esto posibilita que atacantes no autenticados inicien sesión como un usuario recién registrado en el sitio que tiene establecida la meta de usuario 'urm_user_just_created'.

El plugin WP Social Meta para WordPress es vulnerable a cross-site scripting almacenado a través de la configuración de administrador en todas las versiones hasta la 1.0.1, inclusive, debido a una sanitización de entrada y un escape de salida insuficientes. Esto hace posible que atacantes autenticados, con permisos de nivel de administrador y superiores, inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada. Esto solo afecta a las instalaciones multisitio y a las instalaciones donde se ha deshabilitado unfiltered_html.

El plugin Custom Logo para WordPress es vulnerable a cross-site scripting almacenado a través de la configuración de administrador en todas las versiones hasta la 2.2, inclusive, debido a una sanitización de entrada y un escape de salida insuficientes. Esto permite a atacantes autenticados, con permisos de nivel de administrador y superiores, inyectar scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada. Esto solo afecta a las instalaciones multisitio y a las instalaciones donde se ha deshabilitado unfiltered_html.

El plugin EM Cost Calculator para WordPress es vulnerable a cross-site scripting almacenado en versiones hasta la 2.3.1, inclusive. Esto se debe a que el plugin almacena datos 'customer_name' controlados por el atacante y los renderiza en la lista de clientes del administrador sin escape de salida. Esto permite que atacantes no autenticados inyecten scripts web arbitrarios que se ejecutan cuando un administrador ve la página de Clientes de EMCC.

Vitess es un sistema de clustering de bases de datos para el escalado horizontal de MySQL. Antes de las versiones 23.0.3 y 22.0.4, cualquier persona con acceso de lectura/escritura a la ubicación de almacenamiento de copias de seguridad (por ejemplo, un bucket de S3) puede manipular los archivos de manifiesto de copia de seguridad para que los archivos en el manifiesto — que pueden ser archivos que también hayan añadido al manifiesto y al contenido de la copia de seguridad — se escriban en cualquier ubicación accesible al restaurar. Este es un problema de seguridad común de salto de ruta. Esto puede usarse para proporcionar a ese atacante acceso no intencionado/no autorizado al entorno de despliegue de producción — permitiéndoles acceder a la información disponible en ese entorno, así como ejecutar cualquier comando arbitrario adicional allí. Las versiones 23.0.3 y 22.0.4 contienen un parche. No se conocen soluciones alternativas disponibles.

El plugin Livemesh Addons for Beaver Builder para WordPress es vulnerable a Cross-Site Scripting Almacenado a través de los atributos 'title' y 'value' del shortcode '[labb_pricing_item]' en todas las versiones hasta la 3.9.2, inclusive, debido a una sanitización de entrada insuficiente y un escape de salida inadecuado. Específicamente, el plugin utiliza 'htmlspecialchars_decode()' después de 'wp_kses_post()', lo que decodifica las entidades HTML de nuevo a código ejecutable después de que se ha producido la sanitización. Esto hace posible que atacantes autenticados, con acceso de nivel Colaborador o superior, inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.

El plugin TP2WP Importer para WordPress es vulnerable a cross-site scripting almacenado a través del área de texto 'Watched domains' en la página de configuración del importador de adjuntos en todas las versiones hasta la 1.1, inclusive. Esto se debe a una sanitización de entrada y un escape de salida insuficientes cuando los dominios se guardan a través de AJAX y se renderizan con echo implode() sin esc_textarea(). Esto hace posible que atacantes autenticados, con acceso de nivel de Administrador y superior, inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a la página de configuración del importador de adjuntos.