Vulnerabilidades

Vulnerabilidad de Cross Site Request Forgery en NCR Terminal Handler v.1.5.1 permite a un atacante remoto obtener información confidencial y escalar privilegios a través de un script manipulado al componente UserSelfService.

Un problema en yonyou YonBIP v3_23.05 permite a un atacante remoto ejecutar código arbitrario a través de un script manipulado en el componente ServiceDispatcherServlet uap.framework.rc.itf.IResourceManager.

Una vulnerabilidad de carga de archivos arbitrarios en la interfaz uap.framework.rc.itf.IResourceManager de YonBIP v3_23.05 permite a los atacantes ejecutar código arbitrario cargando un archivo manipulado.

Una vulnerabilidad de carga de archivos arbitrarios en el método nccloud.web.arcp.taskmonitor.action.ArcpUploadAction.doAction() de YonBIP v3_23.05 permite a los atacantes ejecutar código arbitrario cargando un archivo manipulado.

Una vulnerabilidad de carga de archivos arbitrarios en el método nccloud.web.arcp.taskmonitor.action.ArcpUploadAction.doAction() de YonBIP v3_23.05 permite a los atacantes ejecutar código arbitrario cargando un archivo manipulado.

Una vulnerabilidad de carga de archivos en el sistema de seguridad del terminal ejinshan v8+ permite a los atacantes cargar archivos arbitrarios en ubicaciones arbitrarias del servidor.

Un problema en weaver e-cology v.10.0.2310.01 permite a un atacante remoto ejecutar código arbitrario a través de un script manipulado en el componente FrameworkShellController.

Se descubrió que YonBIP v3_23.05 contenía una vulnerabilidad de lectura de archivos arbitraria a través del componente nc.bs.framework.comn.serv.CommonServletDispatcher.

Se descubrió que YonBIP v3_23.05 contiene una vulnerabilidad de inyección SQL a través del método com.yonyou.hrcloud.attend.web.AttendScriptController.runScript().

Notary Project es un conjunto de especificaciones y herramientas destinadas a proporcionar un estándar intersectorial para proteger las cadenas de suministro de software mediante el uso de imágenes de contenedores auténticas y otros artefactos OCI. Un actor externo con control de un registro de contenedor comprometido puede proporcionar versiones obsoletas de artefactos OCI, como imágenes. Esto podría llevar a los consumidores de artefactos con políticas de confianza relajadas (como "permisivas" en lugar de "estrictas") a utilizar potencialmente artefactos con firmas que ya no son válidas, haciéndolos susceptibles a cualquier vulnerabilidad que esos artefactos puedan contener. En Notary Project, un editor de artefactos puede controlar el período de validez del artefacto especificando la caducidad de la firma durante el proceso de firma. El uso de períodos de validez de firma más cortos junto con procesos para renunciar periódicamente a los artefactos permite a los productores de artefactos garantizar que sus consumidores solo recibirán artefactos actualizados. En consecuencia, los consumidores de artefactos deberían utilizar una política de confianza "estricta" o equivalente que imponga la caducidad de la firma. En conjunto, estos pasos permiten el uso de artefactos actualizados y protegen contra ataques de reversión en caso de que el registro se vea comprometido. Notary Project ofrece varias opciones de validación de firmas, como "permisivo", "auditoría" y "omitir" para admitir varios escenarios. Estos escenarios incluyen 1) situaciones que exigen una implementación urgente de cargas de trabajo, que requieren eludir firmas caducadas o revocadas; 2) auditoría de artefactos que carecen de firmas sin interrumpir la carga de trabajo; y 3) omitir la verificación de imágenes específicas que podrían haber sido validadas a través de mecanismos alternativos. Además, Notary Project admite la revocación para garantizar la frescura de la firma. Los editores de artefactos pueden firmar con certificados de corta duración y revocar certificados más antiguos cuando sea necesario. Esta revocación sirve como señal para informar a los consumidores de artefactos que el artefacto vigente correspondiente ya no está aprobado por el editor. Esto permite al editor de artefactos controlar la validez de la firma independientemente de su capacidad para administrar artefactos en un registro comprometido.

Una vulnerabilidad fue encontrada en Hecheng Leadshop hasta 1.4.20 y clasificada como crítica. Una función desconocida del archivo /web/leadshop.php es afectada por esta vulnerabilidad. La manipulación del argumento install conduce a la deserialización. Es posible lanzar el ataque de forma remota. El exploit ha sido divulgado al público y puede utilizarse. VDB-251562 es el identificador asignado a esta vulnerabilidad.

DependencyCheck para Maven 9.0.0 a 9.0.6, para la Interfaz de Línea de Comandos (CLI) versión 9.0.0 a 9.0.5 y para Ant versiones 9.0.0 a 9.0.5, cuando se usa en modo de depuración, permite a un atacante recuperar la clave API NVD de un archivo de registro.