Vulnerabilidades

Home Assistant es una domótica de código abierto. El servidor Home Assistant no establece ningún encabezado de seguridad HTTP, incluido el encabezado X-Frame-Options, que especifica si se permite que la página web este enmarcada. La omisión de este y los encabezados correlacionados facilita los ataques encubiertos de clickjacking y oportunidades de explotación alternativas, como el vector descrito en este aviso de seguridad. Esta falla conlleva un riesgo importante, considerando la capacidad de engañar a los usuarios para que instalen un complemento externo y malicioso con una interacción mínima del usuario, lo que permitiría Remote Code Execution (RCE) dentro de la aplicación Home Assistant. Este problema se solucionó en la versión 2023.9.0 y se recomienda a todos los usuarios que actualicen. No se conocen workarounds para esta vulnerabilidad.

Home Assistant es una domótica de código abierto. La aplicación Home Assistant Companion para Android hasta la versión 2023.8.2 es vulnerable a la carga de URL arbitraria en un WebView. Esto permite todo tipo de ataques, incluida la ejecución arbitraria de JavaScript, la ejecución limitada de código nativo y el robo de credenciales. Este problema se solucionó en la versión 2023.9.2 y se recomienda a todos los usuarios que actualicen. No se conocen workarounds para esta vulnerabilidad. Este problema también se rastrea como Informe de vulnerabilidad del GitHub Security Lab (GHSL): `GHSL-2023-142`.

Home Assistant es una domótica de código abierto. En las versiones afectadas, `hassio.addon_stdin` es vulnerable a Server-Side Request Forgery donde un atacante capaz de llamar a este servicio (por ejemplo, a través de GHSA-h2jp-7grc-9xpp) puede invocar cualquier Supervisor REST API endpoint con una solicitud POST. Un atacante capaz de explotar podrá controlar el diccionario de datos, incluido su complemento y las claves/valores de entrada. Este problema se solucionó en la versión 2023.9.0 y se recomienda a todos los usuarios que actualicen. No se conocen workarounds para esta vulnerabilidad. Este problema también se rastrea como Informe de vulnerabilidad del GitHub Security Lab (GHSL): `GHSL-2023-162`.

Vulnerabilidad de Cross-Site Scripting (XSS) en evolution v.3.2.3 permite a un atacante local ejecutar código arbitrario a través de un payload manipulado inyectado en los parámetros cmsadmin, cmsadminemail, cmspassword y cmspasswordconfim.

Vulnerabilidad de Cross-Site Scripting (XSS) en opensolution Quick CMS v.6.7 permite a un atacante local ejecutar código arbitrario a través de un script manipulado en el parámetro Content - Name en el componente Pages Menu.

La aplicación Home Assistant Companion para iOS y macOS hasta la versión 2023.4 es vulnerable a Client-Side Request Forgery. Los atacantes pueden enviar links/QR maliciosos a las víctimas que, cuando los visitan, harán que la víctima llame a servicios arbitrarios en su instalación de Home Assistant. Combinado con este aviso de seguridad, puede resultar en un compromiso total y en la Remote Code Execution (RCE). La versión 2023.7 soluciona este problema y se recomienda a todos los usuarios que actualicen. No se conocen workarounds para esta vulnerabilidad. Este problema también se rastrea como GitHub Security Lab (GHSL) Informe de vulnerabilidad: GHSL-2023-161.

TinyMCE es un editor de texto enriquecido de código abierto. Se descubrió una vulnerabilidad de Cross-Site Scripting (XSS) en la API del Administrador de notificaciones de TinyMCE. La vulnerabilidad explota el sistema de notificación sin filtrar de TinyMCE, que se utiliza en el manejo de errores. Las condiciones para este exploit requieren que se haya insertado contenido malicioso cuidadosamente manipulado en el editor y que se haya activado una notificación. Cuando se abrió una notificación, el HTML dentro del argumento de texto se mostró sin filtrar en la notificación. La vulnerabilidad permitía la ejecución arbitraria de JavaScript cuando se presentaba una notificación en la interfaz de usuario de TinyMCE para el usuario actual. Este problema también podría ser aprovechado por cualquier integración que utilice una notificación TinyMCE para mostrar contenido HTML sin filtrar. Esta vulnerabilidad se ha solucionado en TinyMCE 5.10.8 y TinyMCE 6.7.1 garantizando que el HTML que se muestra en la notificación esté sanitizado, lo que evita el exploit. Se recomienda a los usuarios que actualicen. No se conocen workarounds para esta vulnerabilidad.

ArchiveBox es un sistema de archivo web autohospedado de código abierto. Cualquier usuario que esté utilizando el extractor `wget` y vea el contenido que genera. El impacto es potencialmente grave si inicia sesión en el sitio de administración de ArchiveBox en la misma sesión del navegador y ve una página maliciosa archivada diseñada para apuntar a su instancia de ArchiveBox. Javascript malicioso podría potencialmente actuar utilizando sus credenciales de administrador iniciadas y agregar/eliminar/modificar instantáneas, agregar/eliminar/modificar usuarios de ArchiveBox y, en general, hacer cualquier cosa que un usuario administrador pueda hacer. El impacto es menos severo para los usuarios que no han iniciado sesión, ya que Javascript malicioso no puede *modificar* ningún archivo, pero aún puede *leer* todo el resto del contenido archivado al obtener el índice de la instantánea y recorrerlo en iteración. Debido a que todo el contenido archivado de ArchiveBox se sirve desde el mismo host y puerto que el panel de administración, cuando se ven las páginas archivadas, JS se ejecuta en el mismo contexto que todas las demás páginas archivadas (y el panel de administración), anulando la mayoría de las funciones habituales del navegador. Protecciones de seguridad CORS/CSRF y lo que lleva a este problema. Se está desarrollando un parche en https://github.com/ArchiveBox/ArchiveBox/issues/239. Como mitigación para este problema, sería deshabilitar el extractor de wget configurando `archivebox config --set SAVE_WGET=False`, asegurarse de estar siempre desconectado o servir solo una [versión HTML estática] (https://github.com /ArchiveBox/ArchiveBox/wiki/Publishing-Your-Archive#2-export-and-host-it-as-static-html) de su archivo.

TinyMCE es un editor de texto enriquecido de código abierto. Se descubrió una vulnerabilidad de Cross-Site Scripting (XSS) en la funcionalidad principal de deshacer y rehacer de TinyMCE. Cuando un fragmento de HTML cuidadosamente manipulado pasa la capa de sanitización XSS, las funciones de recorte internas lo manipulan como una cadena antes de almacenarlo en la pila de deshacer. Si el fragmento HTML se restaura desde la pila de deshacer, la combinación de manipulación de cadenas y análisis reparativo mediante la [API DOMParser] nativa del navegador (https://developer.mozilla.org/en-US/docs/Web/API/ DOMParser) (TinyMCE 6) o la API SaxParser (TinyMCE 5) muta el HTML de forma maliciosa, permitiendo que se ejecute un payload XSS. Esta vulnerabilidad se ha solucionado en TinyMCE 5.10.8 y TinyMCE 6.7.1 garantizando que HTML se recorte mediante manipulación a nivel de nodo en lugar de manipulación de cadenas. Se recomienda a los usuarios que actualicen. No se conocen workarounds para esta vulnerabilidad.

Vulnerabilidad de Cross-Site Scripting (XSS) en Evolution evo v.3.2.3 permite a un atacante local ejecutar código arbitrario a través de un parámetro uid inyectado en un payload manipulado.

Vulnerabilidad de Cross-Site Scripting (XSS) en opensolution Quick CMS v.6.7 permite a un atacante local ejecutar código arbitrario a través de un script manipulado para el componente Menú de Idiomas.

Vulnerabilidad de Cross-Site Scripting (XSS) en opensolution Quick CMS v.6.7 permite a un atacante local ejecutar código arbitrario a través de un script manipulado para el parámetro SEO - Meta descripción en el componente Menú de Páginas.