Vulnerabilidades

El complemento WPC Smart Quick View para WooCommerce para WordPress es vulnerable a Cross-Site Scripting Almacenado a través de la configuración de administrador en todas las versiones hasta la 4.0.2 incluida debido a una sanitización de entrada y un escape de salida insuficientes. Esto hace posible que atacantes autenticados, con permisos de nivel de administrador y superiores, inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada. Esto solo afecta a las instalaciones multisitio y a las instalaciones en las que se ha deshabilitado unfiltered_html.

El complemento WP Shortcodes Plugin — Shortcodes Ultimate WordPress anterior a 7.0.5 no escapa adecuadamente de algunos de sus atributos de códigos cortos antes de que se repitan a los usuarios, lo que hace posible que los usuarios con el rol de colaborador realicen ataques XSS almacenados.

El complemento GiveWP – Donation Plugin and Fundraising Platform para WordPress es vulnerable a Cross-Site Scripting Almacenado a través del código abreviado 'give_form' del complemento en todas las versiones hasta la 3.6.1 incluida debido a una sanitización de entrada insuficiente y a un escape de salida en los atributos proporcionados por el usuario. Esto hace posible que atacantes autenticados con permisos de nivel de colaborador y superiores inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.

El complemento Smart Slider 3 para WordPress es vulnerable a modificaciones no autorizadas de datos debido a una falta de verificación de capacidad en la función de carga en todas las versiones hasta la 3.5.1.22 incluida. Esto hace posible que atacantes autenticados, con acceso de nivel de colaborador y superior, carguen archivos, incluidos archivos SVG, que pueden usarse para realizar ataques de cross-site scripting almacenados.

OpenTelemetry dotnet es un framework de telemetría dotnet. En las versiones afectadas de `OpenTelemetry.Instrumentation.Http` y `OpenTelemetry.Instrumentation.AspNetCore`, `url.full` escribe atributos/etiquetas en intervalos (`Activity`) cuando el rastreo está habilitado para solicitudes http salientes y `OpenTelemetry.Instrumentation. AspNetCore` escribe el atributo/etiqueta `url.query` en intervalos (`Actividad`) cuando el seguimiento está habilitado para solicitudes http entrantes. Estos atributos están definidos por las convenciones semánticas para intervalos HTTP. Hasta la versión `1.8.1`, los valores escritos por `OpenTelemetry.Instrumentation.Http` y `OpenTelemetry.Instrumentation.AspNetCore` pasarán a través de la cadena de consulta sin formato tal como se envió o recibió (respectivamente). Esto puede dar lugar a que se filtre información confidencial (por ejemplo, EUII: información identificable del usuario final, credenciales, etc.) a los servidores de telemetría (dependiendo de las aplicaciones que se instrumenten), lo que podría causar incidentes de privacidad y/o seguridad. Nota: Las versiones anteriores de `OpenTelemetry.Instrumentation.Http` y `OpenTelemetry.Instrumentation.AspNetCore` pueden usar nombres de etiquetas diferentes pero tienen la misma vulnerabilidad. Las versiones `1.8.1` de `OpenTelemetry.Instrumentation.Http` y `OpenTelemetry.Instrumentation.AspNetCore` ahora redactarán de forma predeterminada todos los valores detectados en las cadenas de consulta transmitidas o recibidas. Se recomienda a los usuarios que actualicen. No se conocen workarounds para esta vulnerabilidad.

Traefik es un proxy inverso HTTP y un equilibrador de carga. En las versiones afectadas, enviar una solicitud GET a cualquier endpoint de Traefik con el encabezado de solicitud "Longitud del contenido" da como resultado un bloqueo indefinido con la configuración predeterminada. Los atacantes pueden aprovechar esta vulnerabilidad para inducir una denegación de servicio. Esta vulnerabilidad se ha solucionado en las versiones 2.11.2 y 3.0.0-rc5. Se recomienda a los usuarios que actualicen. Para las versiones afectadas, esta vulnerabilidad se puede mitigar configurando la opción readTimeout.

stable-diffusion-webui es una interfaz web para Stable Diffusion, implementada utilizando la librería Gradio. Stable-diffusion-webui 1.7.0 es vulnerable a una escritura de archivos limitada que afecta a los sistemas Windows. El método create_ui (pestaña Copia de seguridad/Restaurar) en módulos/ui_extensions.py toma la entrada del usuario en la variable config_save_name en la línea 653. Esta entrada del usuario se usa más tarde en el método save_config_state y se usa para crear una ruta de archivo en la línea 65, que es posterior abierto para escritura en la línea 67, lo que conduce a una escritura de archivo limitada explotable en sistemas Windows. Este problema puede provocar una escritura de archivos limitada. Permite escribir archivos json en cualquier lugar del servidor al que tenga acceso el servidor web.

Netdata es una herramienta de observabilidad de código abierto. En las versiones afectadas, la herramienta `ndsudo` incluida con las versiones afectadas del Netdata Agent permite a un atacante ejecutar programas arbitrarios con permisos de root. La herramienta `ndsudo` está empaquetada como un ejecutable propiedad de `root` con el bit SUID configurado. Solo ejecuta un conjunto restringido de comandos externos, pero sus rutas de búsqueda las proporciona la variable de entorno `PATH`. Esto permite a un atacante controlar dónde busca `ndsudo` estos comandos, que puede ser una ruta a la que el atacante tiene acceso de escritura. Esto puede conducir a una escalada de privilegios locales. Esta vulnerabilidad se ha solucionado en las versiones 1.45.3 y 1.45.2-169. Se recomienda a los usuarios que actualicen. No se conocen workarounds para esta vulnerabilidad.

Xibo es una plataforma de señalización digital de código abierto con un sistema de gestión de contenidos web y software de reproducción de pantalla de Windows. En las versiones afectadas, algunos encabezados de solicitud no se sanitizan correctamente cuando se almacenan en las tablas de sesión y visualización. Estos encabezados se pueden utilizar para inyectar un script malicioso en la página de la sesión para filtrar los ID de sesión y los agentes de usuario. Estos ID de sesión/agentes de usuario se pueden utilizar posteriormente para secuestrar sesiones activas. Se puede inyectar un script malicioso en la cuadrícula de visualización para filtrar información relacionada con las pantallas. Los usuarios deben actualizar a la versión 3.3.10 o 4.0.9, que soluciona este problema. Los clientes que alojan su CMS con el servicio Xibo Signage ya recibieron una actualización o parche para resolver este problema independientemente de la versión de CMS que estén ejecutando. Es necesario actualizar a una versión fija para solucionarlo. Hay parches disponibles para versiones anteriores de Xibo CMS que no cuentan con soporte de seguridad: parche 2.3 ebeccd000b51f00b9a25f56a2f252d6812ebf850.diff. Parche 1.8 a81044e6ccdd92cc967e34c125bd8162432e51bc.diff. No se conocen workarounds para este problema.

Xibo es una plataforma de señalización digital de código abierto con un sistema de gestión de contenidos web y software de reproducción de pantalla de Windows. Los tokens de sesión se exponen en el retorno de la llamada API de búsqueda de sesión en la página de sesiones. Posteriormente pueden ser extraídos y utilizados para secuestrar una sesión. Los usuarios deben tener acceso a la página de sesión o ser superadministradores. Los usuarios deben actualizar a la versión 3.3.10 o 4.0.9, que soluciona este problema. Los clientes que alojan su CMS con el servicio Xibo Signage ya recibieron una actualización o parche para resolver este problema independientemente de la versión de CMS que estén ejecutando. Hay parches disponibles para versiones anteriores de Xibo CMS que no cuentan con soporte de seguridad: parche 2.3 ebeccd000b51f00b9a25f56a2f252d6812ebf850.diff. Parche 1.8 a81044e6ccdd92cc967e34c125bd8162432e51bc.diff. No se conocen workarounds para esta vulnerabilidad.

wn-dusk-plugin (complemento Dusk) es un complemento que integra las pruebas del navegador Laravel Dusk en Winter CMS. El complemento Dusk proporciona algunas rutas especiales como parte de su framework de prueba para permitir que un entorno de navegador (como Chrome sin cabeza) actúe como un usuario en el complemento Backend o Usuario sin tener que pasar por la autenticación. Esta ruta es `[[URL]]/_dusk/login/[[ID DE USUARIO]]/[[MANAGER]]` - donde `[[URL]]` es la URL base del sitio, `[[ID DE USUARIO] ]` es el ID de la cuenta de usuario y `[[MANAGER]]` es el administrador de autenticación (ya sea `backend` para Backend o `user` para el complemento de usuario). Si la configuración de un sitio que utiliza el complemento Dusk se configura de tal manera que el complemento Dusk esté disponible públicamente y los casos de prueba en Dusk se ejecuten con datos en vivo, esta ruta puede usarse potencialmente para obtener acceso a cualquier cuenta de usuario en ya sea el complemento Backend o Usuario sin autenticación. Como se indica en el `README`, este complemento solo debe usarse en desarrollo y *NO* debe usarse en una instancia de producción. Se recomienda específicamente que el complemento se instale como una dependencia de desarrollo solo en Composer. Para solucionar este problema, las rutas especiales utilizadas anteriormente ya no se registrarán a menos que la variable de entorno `APP_ENV` esté específicamente configurada en `dusk`. Dado que Winter por defecto no usa esta variable de entorno y no se completa de manera predeterminada, solo existirá si se usa la configuración automática de Dusk (que no exhibirá esta vulnerabilidad) o si un desarrollador la especifica manualmente en su configuración. La configuración automática realizada por el complemento Dusk también se ha reforzado de forma predeterminada para utilizar valores predeterminados sensatos y no permitir que variables de entorno externas se filtren en esta configuración. Esto solo afectará a los usuarios en los que la instalación de Winter CMS cumpla TODOS los siguientes criterios: 1. El complemento Dusk está instalado en la instancia de Winter CMS. 2. La aplicación está en modo de producción (es decir, el valor de configuración `debug` está establecido en `true` en `config/app.php`). 3. La configuración automática del complemento Dusk ha sido anulada, ya sea proporcionando un archivo `.env.dusk` personalizado o proporcionando una configuración personalizada en la carpeta `config/dusk`, o proporcionando variables de entorno de configuración externamente. 4. El entorno se ha configurado para usar datos de producción en la base de datos para pruebas, y no la base de datos SQLite temporal que Dusk usa por defecto. 5. La aplicación se puede conectar a través de la web. Este problema se solucionó en la versión 2.1.0. Se recomienda a los usuarios que actualicen.

NiceGUI es un framework de interfaz de usuario basado en Python fácil de usar. Una inclusión de archivo local está presente en el componente del folleto de NiceUI cuando se solicitan archivos de recursos bajo la ruta `/_nicegui/{__version__}/resources/{key}/{path:path}`. Como resultado, cualquier archivo en el sistema de archivos backend al que tenga acceso el servidor web puede ser leído por un atacante con acceso al sitio web del folleto NiceUI. Esta vulnerabilidad se ha solucionado en la versión 1.4.21. Se recomienda a los usuarios que actualicen. No se conocen workarounds para esta vulnerabilidad.