Vulnerabilidades

PJSIP es una biblioteca de comunicación multimedia gratuita y de código abierto. Las versiones anteriores a la 2.17 tienen una vulnerabilidad crítica de desbordamiento negativo de búfer de pila en el paquetizador H.264 de PJSIP. El error ocurre al procesar flujos de bits H.264 malformados sin códigos de inicio de unidad NAL, donde el paquetizador realiza aritmética de punteros sin verificar que puede leer de la memoria ubicada antes del búfer asignado. La versión 2.17 contiene un parche para el problema.

opa-envoy-plugin es un plugin para aplicar políticas OPA con Envoy. Las versiones anteriores a 1.13.2-envoy-2 tienen una vulnerabilidad en cómo se construye el campo 'input.parsed_path'. Las rutas de solicitud HTTP se tratan como URIs completas al ser analizadas; interpretando los segmentos de ruta iniciales prefijados con barras dobles ('//') como componentes de autoridad, y por lo tanto, eliminándolos de la ruta analizada. Esto crea una falta de coincidencia en la interpretación de la ruta entre las políticas de autorización y los servidores backend, permitiendo a los atacantes eludir los controles de acceso mediante la creación de solicitudes donde el filtro de autorización evalúa una ruta diferente a la que finalmente se sirve. La versión 1.13.2-envoy-2 soluciona el problema.

soroban-sdk es un SDK de Rust para contratos Soroban. Antes de las versiones 22.0.10, 23.5.2 y 25.1.1, la macro `#[contractimpl]` contiene un error en cómo conecta las llamadas a funciones. `#[contractimpl]` genera código que utiliza llamadas al estilo `MyContract::value()` incluso cuando está procesando la versión del trait. Esto significa que si una función inherente también se define con el mismo nombre, se llama a la función inherente en lugar de la función del trait. Esto significa que el punto de entrada exportado por Wasm llama silenciosamente a la función incorrecta cuando se cumplen dos condiciones simultáneamente: Primero, se define un bloque `impl Trait for MyContract` con una o más funciones, con `#[contractimpl]` aplicado. Segundo, se define un bloque `impl MyContract` con una o más funciones con nombres idénticos, sin `#[contractimpl]` aplicado. Si la versión del trait contiene comprobaciones de seguridad importantes, como verificar que el llamador está autorizado, que la versión inherente no tiene, esas comprobaciones se eluden. Cualquiera que interactúe con el contrato a través de su interfaz pública llamará a la función incorrecta. El problema está parcheado en las versiones de `soroban-sdk-macros` 22.0.10, 23.5.2 y 25.1.1. La corrección cambia la llamada generada de `::func()` a `::func()` al procesar implementaciones de traits, asegurando que Rust resuelva a la función asociada del trait independientemente de si existe una función inherente con el mismo nombre. Los usuarios deben actualizar a `soroban-sdk-macros` 22.0.10, 23.5.2 o 25.1.1 y recompilar sus contratos. Si la actualización no es posible de inmediato, los desarrolladores de contratos pueden evitar el problema asegurándose de que ninguna función asociada inherente en el tipo de contrato comparta un nombre con ninguna función en la implementación del trait. Renombrar o eliminar la función inherente en conflicto elimina la ambigüedad y hace que el código generado por la macro se resuelva correctamente a la función del trait.

fast-xml-parser permite a los usuarios validar XML, analizar XML a objeto JS, o construir XML desde objeto JS sin bibliotecas basadas en C/C++ y sin callback. En las versiones 4.1.3 a 5.3.5, el analizador XML puede ser forzado a realizar una cantidad ilimitada de expansión de entidades. Con una entrada XML muy pequeña, es posible hacer que el analizador dedique segundos o incluso minutos a procesar una única solicitud, congelando efectivamente la aplicación. La versión 5.3.6 corrige el problema. Como solución alternativa, evite usar el análisis de DOCTYPE mediante la opción 'processEntities: false'.

systeminformation es una biblioteca de información del sistema y del SO para node.js. En versiones anteriores a la 5.30.8, una vulnerabilidad de inyección de comandos en la función wifiNetworks() permite a un atacante ejecutar comandos arbitrarios del SO a través de un parámetro de interfaz de red no saneado en la ruta de código de reintento. En lib/wifi.js, la función wifiNetworks() sanea el parámetro iface en la llamada inicial (línea 437). Sin embargo, cuando el escaneo inicial devuelve resultados vacíos, un reintento de setTimeout (líneas 440-441) llama a getWifiNetworkListIw(iface) con el valor iface original no saneado, que se pasa directamente a execSync('iwlist ${iface} scan'). Cualquier aplicación que pasa una entrada controlada por el usuario a si.wifiNetworks() es vulnerable a la ejecución arbitraria de comandos con los privilegios del proceso de Node.js. La versión 5.30.8 corrige el problema.

Open WebUI es una plataforma de inteligencia artificial autoalojada diseñada para operar completamente sin conexión. Antes de la versión 0.7.0, la modificación manual del historial de chat permite establecer la propiedad 'html' dentro de los metadatos del documento. Esto hace que el frontend entre en una ruta de código que trata el contenido del documento como HTML y los renderiza en un iFrame cuando se previsualiza la cita. Esto permite XSS almacenado a través de una carga útil de documento maliciosa en un chat. La carga útil también se ejecuta cuando se visualiza la cita en un chat compartido. La versión 0.7.0 soluciona el problema.

Open WebUI es una plataforma de inteligencia artificial autoalojada diseñada para operar totalmente fuera de línea. Antes de la versión 0.6.44, la modificación manual del historial de chat permite establecer la propiedad `embeds` en un mensaje de respuesta, cuyo contenido se carga en un iFrame con una sandbox que tiene `allow-scripts` y `allow-same-origin` configurados, ignorando la configuración 'iframe Sandbox Allow Same Origin'. Esto permite XSS almacenado en el chat afectado. Esto también se activa cuando el chat está en formato compartido. El resultado es un enlace compartible que contiene la carga útil que puede distribuirse a cualquier otro usuario de la instancia. La versión 0.6.44 soluciona el problema.

Trivy Action ejecuta Trivy como acción de GitHub para escanear una imagen de contenedor Docker en busca de vulnerabilidades. Una vulnerabilidad de inyección de comandos existe en las versiones 0.31.0 a 0.33.1 de `aquasecurity/trivy-action` debido a un manejo inadecuado de las entradas de la acción al exportar variables de entorno. La acción escribe líneas 'export VAR=' en `trivy_envs.txt` basándose en entradas proporcionadas por el usuario y posteriormente carga este archivo en `entrypoint.sh`. Debido a que los valores de entrada se escriben sin el escape de shell adecuado, la entrada controlada por el atacante que contiene metacaracteres de shell (por ejemplo, '$(...)', comillas invertidas u otra sintaxis de sustitución de comandos) puede ser evaluada durante el proceso de carga. Esto puede resultar en la ejecución arbitraria de comandos dentro del contexto del ejecutor de GitHub Actions. La versión 0.34.0 contiene un parche para este problema. La vulnerabilidad es explotable cuando un flujo de trabajo consumidor pasa datos controlados por el atacante a cualquier entrada de acción que se escriba en `trivy_envs.txt`. Se requiere acceso a la entrada del usuario por parte del actor malicioso. Los flujos de trabajo que no pasan datos controlados por el atacante a las entradas de `trivy-action`, los flujos de trabajo que se actualizan a una versión parcheada que escapa correctamente los valores de shell o elimina el patrón 'source ./trivy_envs.txt', y los flujos de trabajo donde la entrada del usuario no es accesible no se ven afectados.

HDF5 es un software para la gestión de datos. Antes de la versión 1.14.4-2, un atacante que puede controlar un archivo 'h5' analizado por HDF5 puede desencadenar una condición de desbordamiento de búfer de montículo basado en escritura. Esto puede llevar a una condición de denegación de servicio, y potencialmente a problemas adicionales como la ejecución remota de código dependiendo de la explotabilidad práctica del desbordamiento de montículo contra sistemas operativos modernos. La explotabilidad real de este problema en términos de ejecución remota de código es actualmente desconocida. La versión 1.14.4-2 corrige el problema.

emp3r0r es un C2 diseñado por usuarios de Linux para entornos Linux. Antes de la versión 3.21.2, se acceden a múltiples mapas compartidos sin sincronización consistente entre goroutines. Bajo actividad concurrente, el tiempo de ejecución de Go puede desencadenar 'fatal error: concurrent map read and map write', causando el fallo del proceso C2 (pérdida de disponibilidad). La versión 3.21.2 soluciona este problema.

Penpot es una herramienta de diseño de código abierto para la colaboración en el diseño y la programación. Antes de la versión 2.13.2, un usuario autenticado podía leer archivos arbitrarios del servidor proporcionando una ruta de archivo local (por ejemplo, `/etc/ passwd`) como un fragmento de datos de fuente en el punto final RPC `create-font-variant`, lo que daba lugar a que el contenido del archivo se almacenara y pudiera recuperarse como un recurso de «fuente». Se trata de una vulnerabilidad de lectura de archivos arbitrarios. Cualquier usuario autenticado con permisos de edición de equipo puede leer archivos arbitrarios accesibles para el proceso backend de Penpot en el sistema de archivos del host. Esto puede dar lugar a la exposición de archivos sensibles del sistema, secretos de aplicaciones, credenciales de bases de datos y claves privadas, lo que podría comprometer aún más el servidor. En implementaciones en contenedores, el radio de impacto puede limitarse al sistema de archivos del contenedor, pero las variables de entorno, los secretos montados y la configuración de la aplicación siguen estando en riesgo. La versión 2.13.2 contiene un parche para el problema.

CediPay es una aplicación de cripto a fiat para el mercado ghanés. Una vulnerabilidad en CediPay anterior a la versión 1.2.3 permite a los atacantes eludir la validación de entrada en la API de transacciones. El problema ha sido solucionado en la versión 1.2.3. Si la actualización no es posible de inmediato, restrinja el acceso a la API a redes de confianza o rangos de IP; aplique una validación de entrada estricta en la capa de aplicación; y/o supervise los registros de transacciones en busca de anomalías o actividad sospechosa. Estas mitigaciones reducen la exposición, pero no eliminan por completo la vulnerabilidad.