Vulnerabilidades

Quinn es una implementación compatible con async y puramente Rust del protocolo de transporte IETF QUIC. A partir del protocolo quinn 0.11, es posible que un servidor `accept()`, `retry()`, `refuse()` o `ignore()` una conexión `Incoming`. Sin embargo, llamar a `retry()` en una conexión no validada expone al servidor a un posible pánico en las siguientes situaciones: 1. Llamar a `refuse` o `ignore` en la conexión validada resultante, si se recibe un paquete inicial duplicado. Este problema puede pasar desapercibido hasta que se ejerza la ruta de código `refuse()`/`ignore()` de un servidor, como para detener un ataque de denegación de servicio. 2. Aceptar cuando el paquete inicial para la conexión validada resultante no logra descifrar o agota los ID de conexión, si se recibe un paquete inicial similar que descifra con éxito y no agota los ID de conexión. Este problema puede pasar desapercibido si los clientes se comportan bien. La primera situación se observó en una aplicación real, mientras que la segunda es sólo teórica.

Overleaf es un editor colaborativo de LaTeX basado en la web. Overleaf Community Edition y Server Pro anteriores a la versión 5.0.7 (o 4.2.7 para la serie 4.x) contienen una vulnerabilidad que permite que un parámetro de idioma arbitrario en las solicitudes de ortografía del cliente se pase al ejecutable `aspell` que se ejecuta en el servidor. Esto hace que `aspell` intente cargar un archivo de diccionario con un nombre de archivo arbitrario. El acceso al archivo está limitado al ámbito del servidor de Overleaf. El problema se solucionó en las versiones 5.0.7 y 4.2.7. Las versiones anteriores se pueden actualizar utilizando el comando `bin/upgrade` del kit de herramientas de Overleaf. Los usuarios que no puedan actualizar pueden bloquear las solicitudes POST a `/spelling/check` a través de un firewall de aplicaciones web que impedirá el acceso a la función de revisión ortográfica vulnerable. Sin embargo, se recomienda realizar la actualización.

Overleaf es un editor colaborativo de LaTeX basado en la web. Al instalar Server Pro utilizando el kit de herramientas de Overleaf anterior al 17 de julio de 2024 o el archivo docker-compose.yml anterior al 28 de agosto de 2024, la configuración para las compilaciones de LaTeX era insegura de forma predeterminada, lo que requería que el administrador habilitara las funciones de seguridad a través de una opción de configuración (`SIBLING_CONTAINERS_ENABLED` en el kit de herramientas, `SANDBOXED_COMPILES` en las implementaciones tradicionales de docker-compose/custom). Si estas funciones de seguridad no están habilitadas, los usuarios tienen acceso a los recursos del contenedor `sharelatex` (sistema de archivos, red, variables de entorno) al ejecutar compilaciones, lo que genera múltiples vulnerabilidades de acceso a archivos, ya sea directamente o a través de enlaces simbólicos creados durante las compilaciones. La configuración ahora se ha cambiado para que sea segura de forma predeterminada para las nuevas instalaciones en el kit de herramientas y la implementación tradicional de docker-compose. Se actualizó el kit de herramientas de Overleaf para configurar `SIBLING_CONTAINERS_ENABLED=true` de manera predeterminada para las nuevas instalaciones. Se recomienda que todas las instalaciones existentes que utilicen la configuración predeterminada anterior migren al uso de contenedores hermanos. Las instalaciones existentes pueden configurar `SIBLING_CONTAINERS_ENABLED=true` en `config/overleaf.rc` como mitigación. En las implementaciones docker-compose/custom heredadas, se debe utilizar `SANDBOXED_COMPILES=true`.

audiobookshelf es un servidor de audiolibros y podcasts autoalojado. A un usuario que no sea administrador no se le permite crear librerías (o acceder solo a aquellas para las que tiene permiso). Sin embargo, a `LibraryController` le falta la verificación para el usuario administrador y, por lo tanto, permite un problema de recorrido de ruta. Permitir que los usuarios que no sean administradores escriban en cualquier directorio del sistema puede verse como una forma de path traversal. Sin embargo, dado que se puede restringir solo a los permisos de administrador, solucionar esto es relativamente simple y cae más en el ámbito del Control de acceso basado en roles (RBAC). Este problema se ha solucionado en la versión de lanzamiento 2.13.0. Se recomienda a todos los usuarios que actualicen. No se conocen workarounds para esta vulnerabilidad.

Jellyfin es un servidor multimedia alojado en un servidor propio de código abierto. La carga de la imagen de perfil de usuario de Jellyfin acepta archivos SVG, lo que permite un ataque XSS almacenado contra un usuario administrador a través de un archivo SVG malicioso especialmente manipulado. Cuando un administrador lo ve fuera de la interfaz web de Jellyfin (por ejemplo, a través de "ver imagen" en un navegador), este archivo SVG malicioso podría interactuar con el almacenamiento local del navegador y recuperar un token de acceso, que a su vez se puede utilizar en una llamada de API para elevar al usuario objetivo a un administrador de Jellyfin. Es poco probable que se explote el vector de ataque real, ya que requiere acciones específicas por parte del administrador para ver la imagen SVG fuera de la interfaz web de Jellyfin, es decir, no es un ataque pasivo. El mecanismo de explotación subyacente se resuelve con la PR #12490, que obliga a que las imágenes adjuntas (incluido el SVG potencialmente malicioso) se traten como archivos adjuntos y, por lo tanto, se descarguen por los navegadores, en lugar de verse. Esto evita la explotación del almacenamiento local del navegador. Esta PR se ha fusionado y los cambios de código relevantes se incluyen en la versión de lanzamiento 10.9.10. Se recomienda a todos los usuarios que actualicen.

Vim es un editor de texto de línea de comandos de código abierto. El parche v9.1.0038 optimizó la forma en que se calcula la posición del cursor y eliminó un bucle que verificaba que la posición del cursor siempre apuntara dentro de una línea y no se volviera inválida al apuntar más allá del final de una línea. En ese entonces, asumimos que este bucle era innecesario. Sin embargo, este cambio hizo posible que la posición del cursor permaneciera inválida y apuntara más allá del final de una línea, lo que eventualmente causaría un desbordamiento del búfer de pila al intentar acceder al puntero de línea en la posición del cursor especificada. Aún no está del todo claro qué puede llevar a esta situación en la que el cursor apunta a una posición inválida. Es por eso que el parche v9.1.0707 no incluye un caso de prueba. El único impacto observado ha sido un bloqueo del programa. Este problema se ha solucionado con el parche v9.1.0707. Se recomienda a todos los usuarios que actualicen.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: fuse: inicializar el contenido de la página más allá del EOF antes de configurar uptodate fuse_notify_store(), a diferencia de fuse_do_readpage(), no habilita la puesta a cero de la página (porque se puede usar para cambiar el contenido parcial de la página). Por lo tanto, fuse_notify_store() debe ser más cuidadoso para inicializar por completo el contenido de la página (incluidas las partes de la página que están más allá del fin del archivo) antes de marcar la página como actualizada. El código actual puede dejar el contenido de la página más allá del EOF sin inicializar, lo que hace que este contenido de página no inicializado sea visible para el espacio de usuario a través de mmap(). Esta es una fuga de información, pero solo afecta a los sistemas que no habilitan init-on-alloc (a través de CONFIG_INIT_ON_ALLOC_DEFAULT_ON=y o el parámetro de línea de comandos del kernel correspondiente).

gix-path es un paquete del proyecto gitoxide que se ocupa de las rutas de Git y sus conversiones. `gix-path` ejecuta `git` para encontrar la ruta de un archivo de configuración que pertenece a la instalación de `git`, pero trata por error la configuración del repositorio local como de todo el sistema si no se encuentra una configuración de alcance superior. En casos excepcionales, esto hace que un repositorio menos confiable sea tratado como más confiable, o filtra información confidencial de un repositorio a otro, como enviar credenciales al control remoto de otro repositorio. En `gix_path::env`, la implementación subyacente de las funciones `installation_config` e `installation_config_prefix` llama a `git config -l --show-origin` y analiza la primera línea de la salida para extraer la ruta al archivo de configuración que contiene la variable de configuración de alcance más alto. Se cree que es muy difícil explotar esta vulnerabilidad deliberadamente, debido a la necesidad de anticipar una situación en la que las variables de configuración de alcance superior estarían ausentes, o de hacer arreglos para que esto suceda. Aunque cualquier sistema operativo puede verse afectado, los usuarios que ejecutan Apple Git en macOS tienen muchas menos probabilidades de verse afectados. Este problema se ha solucionado en la versión 0.10.10. Se recomienda a todos los usuarios que actualicen la versión.

acciones/artifact es el kit de herramientas de GitHub para desarrollar acciones de GitHub. Las versiones de `actions/artifact` anteriores a la 2.1.7 son vulnerables a la escritura arbitraria de archivos cuando se usa `downloadArtifactInternal`, `downloadArtifactPublic` o `streamExtractExternal` para extraer un artefacto manipulado específicamente que contiene nombres de archivos de path traversal. Se recomienda a los usuarios que actualicen a la versión 2.1.7 o superior. No existen workarounds para este problema.

Halo es una herramienta de código abierto para crear sitios web. Se ha identificado una vulnerabilidad de seguridad en versiones anteriores a la 2.17.0 del proyecto Halo. Esta vulnerabilidad permite a un atacante ejecutar secuencias de comandos maliciosas en el navegador del usuario a través de código HTML y JavaScript específico, lo que puede provocar un ataque de Cross-site Scripting (XSS). Se recomienda a los usuarios que actualicen a la versión 2.17.0+. No se conocen workarounds para esta vulnerabilidad.

eLabFTW es un cuaderno de laboratorio electrónico de código abierto para laboratorios de investigación. Al cargar archivos especialmente manipulados, un usuario normal puede crear una situación en la que el navegador de un visitante ejecute código JavaScript arbitrario en el contexto de la aplicación eLabFTW. Esto puede ser provocado por el visitante que ve una lista de experimentos. Al ver esto, el script malicioso puede actuar en nombre del visitante de cualquier manera, incluida la creación de claves API para la persistencia u otras opciones normalmente disponibles para el usuario. Si el usuario que ve la página tiene el rol de administrador de sistemas en eLabFTW, el script puede actuar como administrador de sistemas (incluida la configuración del sistema y roles de administración de usuarios extensos). Se recomienda a los usuarios que actualicen al menos a la versión 5.0.0. No se conocen workarounds para esta vulnerabilidad.

Se ha encontrado una vulnerabilidad en Secure Systems Engineering Connaisseur hasta la versión 3.3.0 y se ha clasificado como problemática. Esta vulnerabilidad afecta al código desconocido del archivo connaisseur/res/targets_schema.json del componente Delegation Name Handler. La manipulación conduce a una complejidad ineficiente de las expresiones regulares. La complejidad de un ataque es bastante alta. La explotación parece ser difícil. La actualización a la versión 3.3.1 puede solucionar este problema. El nombre del parche es 524b73ff7306707f6d3a4d1e86401479bca91b02. Se recomienda actualizar el componente afectado.