Cinco nuevos avisos de seguridad

Vulnerabilidad de tipo Cross-Site Scripting (XSS) reflejado en Anon Proxy Server v0.104. Esta vulnerabilidad permite a un atacante ejecutar código JavaScript en el navegador de la víctima enviándole una URL maliciosa. Esta vulnerabilidad puede explotarse para robar datos confidenciales del usuario, como cookies de sesión, o para realizar acciones en nombre del usuario. A continuación, se detalla la relación entre los parámetros afectados y sus endpoints:

• CVE-2025-41355: parámetros 'port' y 'proxyPort' en '/anon.php'.
• CVE-2025-41356: parámetro 'host' en '/diagconnect.php'.
• CVE-2025-41357: parámetro 'host' en '/diagdns.php'.

CVE-2026-1836: el sistema almacena el nombre de usuario y la contraseña del formulario de inicio de sesión después de remitir la solicitud. Esto podría permitir a un atacante con acceso a la plataforma poder volver al navegador y ver las credenciales de acceso.

• CVE-2026-3106: Cross-Site Scripting (XSS) ciego en Teampass, versiones anteriores a la 3.1.5.16, dentro de la funcionalidad de inicio de sesión del gestor de contraseñas en el parámetro 'contraseña' del formulario de inicio de sesión 'redacted/index.php'. Durante los intentos fallidos de autenticación, la aplicación no limpia ni codifica correctamente la información introducida por el usuario en el campo de nombre de usuario. Como resultado, el código JavaScript arbitrario se ejecuta automáticamente en el navegador del administrador al ver las entradas de inicio de sesión fallidas, lo que da lugar a una condición XSS ciego.
• CVE-2026-3107: Cross-Site Scripting (XSS) almacenado en las versiones de Teampass anteriores a la 3.1.5.16, que afecta a la funcionalidad de importación de contraseñas del gestor de contraseñas en el endpoint 'redacted/index.php?page=items'. La aplicación no limpia ni codifica correctamente los datos introducidos por el usuario durante el proceso de importación, lo que permite que las cargas maliciosas de JavaScript se almacenen de forma persistente en la base de datos. Cuando otros usuarios ven las contraseñas importadas, la carga se ejecuta automáticamente en sus navegadores, lo que da lugar a una condición XSS almacenada en el endpoint 'redacted/index.php?page=items'. Aprovechar esta vulnerabilidad permite a un atacante ejecutar código JavaScript arbitrario en el contexto de múltiples usuarios y del administrador, lo que puede dar lugar al secuestro de sesiones, el robo de credenciales, el abuso de privilegios y el compromiso de la integridad de la aplicación.

CVE-2026-4317: vulnerabilidad de inyección SQL (SQLi) en la aplicación web de Umami Software debido a un parámetro mal depurado, lo que podría permitir a un atacante autenticado ejecutar comandos SQL arbitrarios en la base de datos. En concreto, podría manipular el valor del parámetro de solicitud 'timezone' incluyendo caracteres maliciosos y código SQL. La aplicación interpolaría estos valores directamente en la consulta SQL sin realizar primero un filtrado o una sanitización adecuados (por ejemplo, utilizando funciones como 'prisma.rawQuery', 'prisma.$queryRawUnsafe' o consultas sin procesar con 'ClickHouse'). La explotación exitosa de esta vulnerabilidad podría permitir a un atacante autenticado comprometer los datos de la base de datos y ejecutar funciones peligrosas.

• CVE-2026-4399: vulnerabilidad de Prompt Inyection en el chatbot Millie de 1millionbot que se produce cuando un usuario logra eludir las restricciones del chat mediante técnicas de inyección de comandos booleanos (formulando una pregunta de tal manera que, al recibir una respuesta afirmativa ('true'), el modelo ejecuta la instrucción inyectada), lo que hace que devuelva información prohibida e información fuera de su contexto previsto. La explotación exitosa de esta vulnerabilidad podría permitir a un atacante remoto malintencionado, hacer un uso indebido del servicio para fines distintos de los previstos originalmente, o incluso ejecutar tareas fuera de contexto utilizando los recursos de 1millionbot y/o la clave API de OpenAI. Esto permite al atacante eludir los mecanismos de contención implementados durante el entrenamiento del modelo LLM y obtener respuestas o comportamientos de chat que estaban originalmente restringidos.
   
• CVE-2026-4400: vulnerabilidad de referencia insegura a objetos directos (IDOR) en el chatbot Millie de 1millionbot que permite ver las conversaciones privadas de otros usuarios con solo cambiar el ID de la conversación. La vulnerabilidad se encuentra en el punto final 'api.1millionbot.com/api/public/conversations/<ID>' y, de explotarse, podría permitir a un atacante remoto acceder a las conversaciones privadas de otros usuarios con el chatbot, revelando datos sensibles o confidenciales sin necesidad de credenciales ni de suplantar la identidad de los usuarios. Para que la vulnerabilidad pueda ser explotada, el atacante debe disponer del ID de conversación del usuario.