Vulnerabilidades

CKEditor4 es un editor HTML de código abierto de lo que ves es lo que obtienes. Se ha descubierto una vulnerabilidad de cross-site scripting en el módulo principal de análisis HTML en versiones de CKEditor4 anteriores a la 4.24.0-lts. Puede afectar a todas las instancias del editor que habilitaron el modo de edición de página completa o habilitaron elementos CDATA en la configuración de filtrado de contenido avanzado (los elementos predeterminados son `script` y `style`). La vulnerabilidad permite a los atacantes inyectar contenido HTML con formato incorrecto sin pasar por el mecanismo de filtrado de contenido avanzado, lo que podría resultar en la ejecución de código JavaScript. Un atacante podría abusar de la detección de contenido CDATA defectuosa y utilizarla para preparar un ataque intencional al editor. Hay una solución disponible en la versión 4.24.0-lts.

Vulnerabilidad de cross-site scripting (XSS) almacenado en la aplicación Resultados de búsqueda del módulo Portal Search en Liferay Portal 7.2.0 a 7.4.3.11 y versiones anteriores no compatibles, y Liferay DXP 7.4 antes de la actualización 8, 7.3 antes de la actualización 4, 7.2 antes del fixpack 17 y versiones anteriores no compatibles permiten a los usuarios autenticados remotamente inyectar scripts web o HTML arbitrario en el resultado de búsqueda de la aplicación Resultados de búsqueda si el resaltado está deshabilitado agregando cualquier contenido que permita realizar búsquedas (por ejemplo, blog, mensaje en el tablero de mensajes, artículo de contenido web) a la aplicación.

Open Forms permite a los usuarios crear y publicar formularios inteligentes. Las versiones anteriores a 2.2.9, 2.3.7, 2.4.5 y 2.5.2 contienen una debilidad de autenticación multifactor no explotable. Los superusuarios que tienen sus credenciales (nombre de usuario + contraseña) comprometidas podrían pasar por alto la autenticación de segundo factor si un atacante de alguna manera logra autenticarse en Open Forms. Los mantenedores de Open Forms no creen que sea ni haya sido posible realizar este inicio de sesión. Sin embargo, si esto fuera posible, se podría abusar de la cuenta de la víctima para ver datos de envío (potencialmente confidenciales) o haber sido utilizada para hacerse pasar por otras cuentas del personal para ver y/o modificar datos. Tres factores atenuantes para ayudar a prevenir la explotación incluyen: la página de inicio de sesión habitual (en `/admin/login/`) no inicia la sesión completa del usuario hasta que el segundo factor se proporciona con éxito; la página de inicio de sesión adicional no protegida por MFA en `/api/v2/api-authlogin/` estaba mal configurada y no se podía usar para iniciar sesión; y no hay formas adicionales de iniciar sesión. Esto también requiere que las credenciales de un superusuario estén comprometidas para que sean explotables. Las versiones 2.2.9, 2.3.7, 2.4.5 y 2.5.2 contienen los siguientes parches para abordar estas debilidades: Mover y habilitar solo los endpoints de autenticación API (`/api/v2/api-auth/login/`) con `settings.DEBUG = True`. `settings.DEBUG = True` es inseguro y nunca debe aplicarse en entornos de producción. Además, aplique una verificación de permiso personalizada al flujo de secuestro para permitir que solo los superusuarios verificados por un segundo factor realicen el secuestro de usuarios.

SQLAlchemyDA es un adaptador de base de datos genérico para métodos ZSQL. Una vulnerabilidad encontrada en versiones anteriores a la 2.2 permite la ejecución no autenticada de sentencias SQL arbitrarias en la base de datos a la que está conectada la instancia de SQLAlchemyDA. Todos los usuarios se ven afectados. El problema se solucionó en la versión 2.2. No existe ningún workaround para el problema.

Frappe es un framework de aplicación web completo que utiliza Python y MariaDB en el lado del servidor y una librería del lado del cliente estrechamente integrada. Antes de las versiones 14.59.0 y 15.5.0, las páginas del portal eran susceptibles a Cross-Site Scripting (XSS), que se puede utilizar para inyectar código JS malicioso si el usuario hace clic en un enlace malicioso. Esta vulnerabilidad ha sido parcheada en las versiones 14.59.0 y 15.5.0. No hay workarounds disponibles.

Document and Media widget In Liferay Portal 7.2.0 a 7.3.6 y versiones anteriores no compatibles, y Liferay DXP 7.3 anteriores al service pack 3, 7.2 anteriores al fix pack 13 y versiones anteriores no compatibles, no limita el consumo de recursos al generar una vista previa image, que permite a los usuarios autenticados remotamente provocar una denegación de servicio (consumo de memoria) a través de imágenes PNG manipuladas.

Se descubrió que Espruino 2v20 (commit fcc9ba4) contenía un desbordamiento de búfer en la región stack de la memoria a través de jspeFactorFunctionCall en src/jsparse.c.

Se descubrió que Espruino 2v20 (commit fcc9ba4) contenía una lectura fuera de los límites a través de jsvStringIteratorPrintfCallback en src/jsvar.c.

Se descubrió que SuperWebMailer v9.31.0.01799 contenía una vulnerabilidad de cross-site scripting (XSS) reflejada a través del componente api.php.

Se descubrió que Atmail v6.6.0 contenía una vulnerabilidad de inyección SQL a través del parámetro de nombre de usuario en la página de inicio de sesión.

Se descubrió que Jsish v3.5.0 (commit 42c694c) contenía un desbordamiento de búfer en la región stack de la memoria a través del componente IterGetKeysCallback en /jsish/src/jsiValue.c.

Se descubrió que Jsish v3.5.0 contenía un desbordamiento del búfer de almacenamiento dinámico en ./src/jsiUtils.c.