Vulnerabilidades

El complemento BookingPress – Appointment Booking Calendar Plugin and Online Scheduling Plugin para WordPress es vulnerable a la lectura de archivos arbitrarios y la creación de archivos arbitrarios en todas las versiones hasta la 1.1.5 incluida a través de la función 'bookingpress_save_lite_wizard_settings_func'. Esto hace posible que atacantes autenticados, con acceso de nivel de suscriptor y superior, creen archivos arbitrarios que contengan el contenido de archivos en el servidor, permitiendo la ejecución de cualquier código PHP en esos archivos o la exposición de información confidencial.

El complemento BookingPress – Appointment Booking Calendar Plugin and Online Scheduling Plugin para WordPress es vulnerable a modificaciones no autorizadas de datos que pueden provocar una escalada de privilegios debido a una falta de verificación de capacidad en la función bookingpress_import_data_continue_process_func en todas las versiones hasta la 1.1.5 incluida. Esto hace posible que atacantes autenticados, con acceso de nivel de suscriptor y superior, actualicen opciones arbitrarias en el sitio de WordPress y carguen archivos arbitrarios. Esto se puede aprovechar para actualizar la función predeterminada de registro de administrador y permitir el registro de usuarios para que los atacantes obtengan acceso de usuario administrativo a un sitio vulnerable.

El complemento AI ChatBot para WordPress – WPBot para WordPress es vulnerable a Cross-Site Scripting Almacenado a través de la configuración de administrador en todas las versiones hasta la 5.5.7 incluida debido a una sanitización de entrada y un escape de salida insuficientes. Esto hace posible que atacantes autenticados, con permisos de nivel de administrador y superiores, inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada. Esto solo afecta a las instalaciones multisitio y a las instalaciones en las que se ha deshabilitado unfiltered_html.

En el kernel de Linux, se resolvió la siguiente vulnerabilidad: bpf: Se solucionó el lanzamiento demasiado temprano de tcx_entry Pedro Pinto y más tarde, de forma independiente, también Hyunwoo Kim y Wongi Lee informaron un problema por el cual tcx_entry se puede lanzar demasiado pronto, lo que lleva a un uso posterior a la liberación (UAF ) cuando una qdisc ingress o clsact antigua activa con un bloque tc compartido se reemplaza posteriormente por otra instancia de ingress o clsact. Esencialmente, la secuencia para activar la UAF (un ejemplo) puede ser la siguiente: 1. Se crea un espacio de nombres de red. 2. Se crea una qdisc de entrada. Esto asigna un tcx_entry, y &tcx_entry->miniq se almacena en el miniqp->p_miniq de la qdisc. Al mismo tiempo, se crea un bloque tcf con índice 1. 3. chain0 está adjunta al bloque tcf. chain0 debe estar conectado al bloque vinculado a la qdisc de ingreso para luego llegar a la función tcf_chain0_head_change_cb_del() que activa la UAF. 4. Cree e injerte una qdisc clsact. Esto hace que se elimine la qdisc de entrada creada en el paso 1, liberando así la tcx_entry previamente vinculada: rtnetlink_rcv_msg() => tc_modify_qdisc() => qdisc_create() => clsact_init() [a] => qdisc_graft() => qdisc_destroy( ) => __qdisc_destroy() => ingress_destroy() [b] => tcx_entry_free() => kfree_rcu() // tcx_entry liberado 5. Finalmente, se cierra el espacio de nombres de la red. Esto registra el trabajador cleanup_net y, durante el proceso de liberación de la qdisc clsact restante, accede a tcx_entry que ya se liberó en el paso 4, lo que provoca que se produzca la UAF: cleanup_net() => ops_exit_list() => default_device_exit_batch() => unregister_netdevice_many() => unregister_netdevice_many_notify() => dev_shutdown() => qdisc_put() => clsact_destroy() [c] => tcf_block_put_ext() => tcf_chain0_head_change_cb_del() => tcf_chain_head_change_item() => clsact_chain_head_change() => mini_qdisc_pair _intercambiar( ) // UAF También hay otras variantes, lo esencial es agregar una qdisc de ingreso (o clsact) con un bloque compartido específico, luego reemplazar esa qdisc, esperar a que se ejecute tcx_entry kfree_rcu() y posteriormente acceder al activo actual miniq de qdisc de una forma u otra. La solución correcta es convertir el booleano miniq_active en un contador. Lo que se puede observar, en el paso 2 anterior, el contador pasa de 0->1, en el paso [a] de 1->2 (para que el objeto miniq permanezca activo durante el reemplazo), luego en [b] de 2->1 y finalmente [c] 1->0 con el eventual lanzamiento. El contador de referencia en general oscila entre [0,2] y no necesita ser atómico ya que todo acceso al contador está protegido por el mutex rtnl. Con esto implementado, ya no ocurre ningún UAF y tcx_entry se libera en el momento correcto.

El complemento Ultimate Addons para WPBakery para WordPress es vulnerable a Cross-Site Scripting Almacenado a través del código corto de precios definitivos del complemento en todas las versiones hasta la 3.19.20 incluida debido a una sanitización de entrada insuficiente y a un escape de salida en los atributos proporcionados por el usuario. Esto hace posible que atacantes autenticados, con acceso de nivel de colaborador y superior, inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.

El complemento Ultimate Addons para WPBakery para WordPress es vulnerable a Cross-Site Scripting Almacenado a través del código corto ultimate_info_table del complemento en todas las versiones hasta la 3.19.20 incluida debido a una sanitización de entrada insuficiente y a un escape de salida en los atributos proporcionados por el usuario. Esto hace posible que atacantes autenticados, con acceso de nivel de colaborador y superior, inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.

El complemento Ultimate Addons para WPBakery para WordPress es vulnerable a Cross-Site Scripting Almacenado a través del código corto ult_team del complemento en todas las versiones hasta la 3.19.20 incluida debido a una sanitización de entrada insuficiente y a un escape de salida en los atributos proporcionados por el usuario. Esto hace posible que atacantes autenticados, con acceso de nivel de colaborador y superior, inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.

El complemento Ultimate Addons para WPBakery para WordPress es vulnerable a Cross-Site Scripting Almacenado a través del código corto ultimate_info_banner del complemento en todas las versiones hasta la 3.19.20 incluida debido a una sanitización de entrada insuficiente y a un escape de salida en los atributos proporcionados por el usuario. Esto hace posible que atacantes autenticados, con acceso de nivel de colaborador y superior, inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: bpf: corrige el exceso de reservas en ringbuf. El búfer de anillo BPF se implementa internamente como un búfer circular de tamaño potencia de 2, con dos contadores lógicos y en constante aumento: consumer_pos es el consumidor contador para mostrar en qué posición lógica el consumidor consumió los datos, y productor_pos, que es el contador del productor que indica la cantidad de datos reservados por todos los productores. Cada vez que se reserva un registro, el productor "dueño" del registro avanzará exitosamente el contador de productores. En el espacio de usuario, cada vez que se lee un registro, el consumidor de los datos avanza el contador del consumidor una vez que finaliza el procesamiento. Ambos contadores se almacenan en páginas separadas de modo que, desde el espacio del usuario, el contador del productor sea de solo lectura y el contador del consumidor sea de lectura y escritura. Un aspecto que simplifica y, por lo tanto, acelera la implementación tanto de productores como de consumidores es cómo el área de datos se mapea dos veces de forma contigua y consecutiva en la memoria virtual, lo que permite no tomar medidas especiales para las muestras que tienen que envolverse en el mismo lugar. al final del área de datos del búfer circular, porque la página siguiente después de la última página de datos volvería a ser la primera página de datos y, por lo tanto, la muestra seguirá apareciendo completamente contigua en la memoria virtual. Cada registro tiene una estructura bpf_ringbuf_hdr { u32 len; u32 página_apagada; } encabezado para la contabilidad de la longitud y el desplazamiento, y es inaccesible para el programa BPF. Ayudantes como bpf_ringbuf_reserve() devuelven `(void *)hdr + BPF_RINGBUF_HDR_SZ` para que lo use el programa BPF. Bing-Jhong y Muhammad informaron que, sin embargo, es posible hacer que un segundo fragmento de memoria asignado se superponga con el primer fragmento y, como resultado, el programa BPF ahora puede editar el encabezado del primer fragmento. Por ejemplo, considere la creación de un mapa BPF_MAP_TYPE_RINGBUF con un tamaño de 0x4000. A continuación, consumer_pos se modifica a 0x3000 /antes/ se realiza una llamada a bpf_ringbuf_reserve(). Esto asignará un fragmento A, que está en [0x0,0x3008], y el programa BPF podrá editar [0x8,0x3008]. Ahora, asignemos un fragmento B con tamaño 0x3000. Esto tendrá éxito porque consumer_pos se editó con anticipación para pasar la verificación `new_prod_pos - cons_pos > rb->mask`. El fragmento B estará en el rango [0x3008,0x6010] y el programa BPF podrá editar [0x3010,0x6010]. Debido al diseño de la memoria del búfer en anillo mencionado anteriormente, los rangos [0x0,0x4000] y [0x4000,0x8000] apuntan a las mismas páginas de datos. Esto significa que el fragmento B en [0x4000,0x4008] es el encabezado del fragmento A. bpf_ringbuf_submit() / bpf_ringbuf_discard() usa el pg_off del encabezado para luego ubicar el bpf_ringbuf a través de bpf_ringbuf_restore_from_rec(). Una vez que el fragmento B modificó el encabezado del fragmento A, bpf_ringbuf_commit() hace referencia a la página incorrecta y podría causar un bloqueo. Solucionelo calculando el pendiente_pos más antiguo y verifique si el rango desde el registro pendiente más antiguo hasta el más nuevo abarcaría más allá del tamaño del búfer circular. Si ese es el caso, rechace la solicitud. Hemos probado con el punto de referencia del búfer de anillo en las autopruebas de BPF (./benchs/run_bench_ringbufs.sh) antes/después de la corrección y, aunque parece un poco más lento en algunos puntos de referencia, todavía no es lo suficientemente significativo como para importar.

Se encontró una vulnerabilidad en itsourcecode Simple Task List 1.0. Ha sido clasificada como crítica. Esto afecta a la función insertUserRecord del archivo signUp.php. La manipulación del argumento nombre de usuario conduce a la inyección de SQL. Es posible iniciar el ataque de forma remota. El exploit ha sido divulgado al público y puede utilizarse. El identificador asociado de esta vulnerabilidad es VDB-271707.

Una vulnerabilidad fue encontrada en SourceCodester Student Study Center Desk Management System 1.0 y clasificada como problemática. Una función desconocida del archivo /sscdms/classes/Users.php?f=save del componente HTTP POST Request Handler es afectada por esta vulnerabilidad. La manipulación del argumento nombre/segundo nombre/apellido/nombre de usuario conduce a cross site scripting. El ataque puede lanzarse de forma remota. El exploit ha sido divulgado al público y puede utilizarse. VDB-271706 es el identificador asignado a esta vulnerabilidad.

Una vulnerabilidad ha sido encontrada en itsourcecode Document Management System 1.0 y clasificada como crítica. Una función desconocida del archivo insert.php es afectada por esta vulnerabilidad. La manipulación del argumento anothercont conduce a la inyección de SQL. El ataque se puede lanzar de forma remota. El exploit ha sido divulgado al público y puede utilizarse. A esta vulnerabilidad se le asignó el identificador VDB-271705.