Vulnerabilidades

Sandbox Accounts for Events proporciona múltiples cuentas temporales de AWS a varios usuarios autenticados simultáneamente a través de una GUI basada en navegador. Los usuarios autenticados podrían leer datos de la tabla de eventos enviando payloads de solicitudes a la API de eventos, recopilando información sobre eventos planificados, plazos, presupuestos y direcciones de correo electrónico de los propietarios. Este acceso a los datos puede permitir a los usuarios obtener información sobre los próximos eventos y unirse a eventos a los que no han sido invitados. Este problema se solucionó en la versión 1.10.0.

Gradio es un paquete Python de código abierto que le permite crear rápidamente una demostración o una aplicación web para su modelo de aprendizaje automático, API o cualquier función arbitraria de Python. Las versiones de `gradio` anteriores a la 4.11.0 contenían una vulnerabilidad en la ruta `/file` que las hacía susceptibles a ataques transversales de archivos en los que un atacante podía acceder a archivos arbitrarios en una máquina que ejecutaba una aplicación Gradio con una URL pública (por ejemplo, si la demostración se creó con `share=True`, o en Hugging Face Spaces) si conocían la ruta de los archivos a buscar. Este problema se solucionó en la versión 4.11.0.

Symbolicator es un servicio utilizado en Sentry. A partir de la versión 0.3.3 de Symbolicator y antes de la versión 21.12.1, un atacante podría hacer que Symbolicator enviara solicitudes HTTP GET a URL arbitrarias con direcciones IP internas mediante el uso de un protocolo no válido. Las respuestas a esas solicitudes podrían exponerse a través de la API de Symbolicator. En las instancias de Sentry afectadas, los datos podrían quedar expuestos a través de la API de Sentry y la interfaz de usuario si el atacante tiene una cuenta registrada. El problema se solucionó en la versión 23.12.1 de Symbolicator, la versión 23.12.1 autohospedada de Sentry y ya se mitigó en sentry.io el 18 de diciembre de 2023. Si no es posible actualizar, hay otras mitigaciones disponibles. Se puede deshabilitar el procesamiento de JS activando la opción "Allow JavaScript Source Fetching" en "Organization Settings > Security & Privacy" y/o deshabilitar todos los repositorios públicos que no sean de confianza en "Project Settings > Debug Files". Alternativamente, si no se requieren JavaScript ni la simbolización nativa, desactive Symbolicator por completo en `config.yml`.

Hertzbeat es un sistema de monitoreo en tiempo real de código abierto. Antes de la versión 1.4.1, los problemas de configuración de permisos de Spring Boot provocaban vulnerabilidades de acceso no autorizado a tres interfaces. Esto podría resultar en la divulgación de información confidencial del servidor. La versión 1.4.1 soluciona este problema.

AWS SDK para PHP es el kit de desarrollo de software de Amazon Web Services para PHP. Dentro del alcance de las solicitudes a claves de objeto S3 y/o prefijos que contienen un doble punto Unix, es posible un path traversal URI. El problema existe en el método `buildEndpoint` en el componente RestSerializer del AWS SDK para PHP v3 anterior a 3.288.1. El método `buildEndpoint` se basa en la utilidad Guzzle Psr7 UriResolver, que elimina segmentos de puntos de la ruta de solicitud de acuerdo con RFC 3986. Bajo ciertas condiciones, esto podría conducir a que se acceda a un objeto arbitrario. Este problema se solucionó en la versión 3.288.1.

MindsDB es un servidor SQL para inteligencia artificial. Antes de la versión 23.11.4.1, el método `put` en `mindsdb/mindsdb/api/http/namespaces/file.py` no valida el valor del nombre controlado por el usuario, que se usa en un nombre de archivo temporal, que se muestra posteriormente. abierto para escritura en las líneas 122-125, lo que conduce a inyección de ruta. Más adelante en el método, el directorio temporal se elimina en la línea 151, pero como podemos escribir fuera del directorio utilizando la vulnerabilidad de inyección de ruta, el archivo potencialmente peligroso no se elimina. Se pueden escribir contenidos de archivos arbitrarios debido a `f.write(chunk)` en la línea 125. Mindsdb verifica más adelante en la línea 149 en el método `save_file` en `file-controller.py` que llama al método `_handle_source` en ` file_handler.py` si un archivo es de uno de los tipos `csv`, `json`, `parquet`, `xls` o `xlsx`. Sin embargo, dado que la verificación se realiza después de que el archivo ya se haya escrito, los archivos seguirán existiendo (y no se eliminarán debido a la inyección de ruta descrito anteriormente), solo el método `_handle_source` devolverá un error. La misma fuente controlada por el usuario también se utiliza en otro receptor de inyección de ruta en la línea 138. Esto conduce a otra inyección de ruta, que permite a un atacante eliminar cualquier archivo `zip` o `tar.gz` en el servidor.

Englesystem es un sistema de planificación de turnos para eventos de caos. Engelsystem anterior a v3.4.1 realizaba una validación insuficiente de los datos proporcionados por el usuario para los campos de DECT number, mobile number y work-log comment fields. Los valores de esos campos se mostrarían en las descripciones generales de registros correspondientes, lo que permitiría la inyección y ejecución de código Javascript en el contexto de otro usuario. Esta vulnerabilidad permite a un usuario autenticado inyectar Javascript en las sesiones de otros usuarios. El JS inyectado se ejecutará durante el uso normal del sistema al visualizar, por ejemplo, páginas de descripción general. Este problema se solucionó en la versión 3.4.1.

Sandbox Accounts for Events proporciona múltiples cuentas temporales de AWS a varios usuarios autenticados simultáneamente a través de una GUI basada en navegador. Los usuarios autenticados podrían reclamar y acceder a cuentas vacías de AWS enviando payloads de solicitud a la API de la cuenta que contienen identificadores de eventos inexistentes y un presupuesto y una duración autodefinidos. Este problema solo afecta a las cuentas de AWS limpiadas; no es posible acceder a las cuentas de AWS en uso ni a los datos/infraestructura existentes. Este problema se solucionó en la versión 1.1.0.

Hertzbeat es un sistema de monitoreo en tiempo real de código abierto. Hertzbeat utiliza aviatorscript para evaluar expresiones de alerta. Se supone que las expresiones de alerta son expresiones simples. Sin embargo, debido a una sanitización inadecuada de las expresiones de alerta en versiones anteriores a la 1.4.1, un usuario malintencionado puede utilizar una expresión de alerta manipulada para ejecutar cualquier comando en el servidor hertzbeat. Un usuario malintencionado que tenga acceso a la función de definición de alertas puede ejecutar cualquier comando en la instancia de Hertzbeat. Este problema se solucionó en la versión 1.4.1.

Resque es una librería Ruby respaldada por Redis para crear trabajos en segundo plano, colocarlos en varias colas y procesarlos más tarde. El problema de XSS reflejado ocurre cuando /queues se agrega con /">. Este problema se solucionó en la versión 2.6.0.

Grackle es un servidor GraphQL escrito en functional Scala, construido en la pila Typelevel. La especificación GraphQL requiere que los fragmentos de GraphQL no formen ciclos, ni directa ni indirectamente. Antes de la versión 0.18.0 de Grackle, ese requisito no se verificaba y las consultas con fragmentos cíclicos se habrían aceptado para la verificación y compilación de tipos. El intento de compilación de dichos fragmentos daría como resultado que se generara un "StackOverflowError" de JVM. Se necesitaría cierto conocimiento del esquema GraphQL de una aplicación para construir dicha consulta; sin embargo, no se necesitaría ningún conocimiento del rendimiento específico de la aplicación ni de otras características de comportamiento. Grackle usa la librería cats-parse para analizar consultas GraphQL. Antes de la versión 0.18.0, Grackle hacía uso del operador "recursive" de cats-parse. Sin embargo, "recursive" actualmente no es seguro para pilas. "recursive" se usó en tres lugares del analizador: conjuntos de selección anidados, valores de entrada anidados (listas y objetos) y declaraciones de tipos de listas anidadas. En consecuencia, se podrían construir consultas con conjuntos de selección, valores de entrada o tipos de listas profundamente anidados que explotaran esto, provocando que se lanzara una `StackOverflowException` de JVM durante el análisis. Debido a que esto sucede muy temprano en el procesamiento de consultas, no se requeriría ningún conocimiento específico del esquema GraphQL de una aplicación para construir dicha consulta. La posibilidad de que pequeñas consultas provoquen un desbordamiento de la pila es una posible vulnerabilidad de denegación de servicio. Esto afecta potencialmente a todas las aplicaciones que utilizan Grackle y que tienen usuarios que no son de confianza. Ambos problemas de desbordamiento de pila se resolvieron en la versión v0.18.0 de Grackle. Como workaround, los usuarios podrían interponer una capa de sanitización entre las entradas que no son de confianza y el procesamiento de consultas de Grackle.

Iris es una plataforma colaborativa web que tiene como objetivo ayudar a los servicios de respuesta a incidentes a compartir detalles técnicos durante las investigaciones. Se ha identificado una vulnerabilidad de Cross-Site Scripting (XSS) almacenado en iris-web, que afecta a varias ubicaciones en versiones anteriores a la v2.3.7. La vulnerabilidad puede permitir a un atacante inyectar scripts maliciosos en la aplicación, que luego podrían ejecutarse cuando un usuario visite las ubicaciones afectadas. Esto podría provocar acceso no autorizado, robo de datos u otras actividades maliciosas relacionadas. Un atacante debe autenticarse en la aplicación para aprovechar esta vulnerabilidad. El problema se solucionó en la versión v2.3.7 de iris-web. No hay workarounds disponibles.