En el resumen de esta semana, hablaremos de:
- una vulnerabilidad de cross-site scripting que puede llevar a la ejecución remota de código en Joplin;
- una vulnerabilidad de desbordamiento de búfer en zlib; y
- múltiples vulnerabilidades identificadas en el controlador de pantalla de la GPU NVIDIA .
Joplin Ejecución remota de código mediante XSS
Se ha identificado una vulnerabilidad de ejecución de código a través de XSS en Joplin que podría permitir a los atacantes ejecutar comandos arbitrarios a través de una carga útil crafteada inyectada en los títulos de Node. Joplin es una aplicación gratuita, de código abierto, basada en markdown para tomar notas y compatible con múltiples sistemas operativos como Windows, Mac y Linux.
La vulnerabilidad proviene de la forma en que se utiliza el método dangerouslySetInnerHTML() con la entrada de usuario unescaped en GotoAnything.tsx. Esto permite a un atacante lograr la ejecución remota de código en el sistema de la víctima con sólo compartir un cuaderno con la carga útil vulnerable en los títulos de los nodos. El payload se ejecuta cada vez que la víctima busca el cuaderno.
El parche se ha publicado en la versión v2.9.1 de Joplin. Joplin versión v2.8.8 y versiones anteriores están afectadas. Esta vulnerabilidad, registrada como CVE-2022-35131, fue calificada con 9.0 en la puntuación CVSS en NVD debido al alto impacto en la confidencialidad, integridad y disponibilidad. Un ataque exitoso requiere que cualquier usuario autenticado busque el cuaderno vulnerable.
Le recomendamos que actualice Joplin a la última versión lo antes posible, especialmente si recibe cuadernos compartidos.
Vulnerabilidad de desbordamiento de búfer basada en Heap de Zlib
Se ha identificado una vulnerabilidad de desbordamiento de búfer basada en heap en zlib, una popular biblioteca de propósito general utilizada para la compresión de datos. La vulnerabilidad se ha registrado como CVE-2022-37434 y afecta a todas las versiones inferiores a la 1.2.12.
La explotación de la vulnerabilidad es posible debido a la sobrelectura de búfer basada en heap o desbordamiento de búfer en inflate.c a través de un campo extra de cabecera gzip de gran tamaño. Según el comentario del pull request que crearon los desarrolladores, si el campo extra era mayor que el espacio que el usuario proporcionaba con inflateGetHeader(), y si múltiples llamadas de inflate() entregaban los datos extra de la cabecera, entonces podía producirse un desbordamiento del buffer del espacio proporcionado. Esta vulnerabilidad sólo afecta a las aplicaciones que utilizan el método inflateGetHeader().
Múltiples vulnerabilidades descubiertas en los controladores de pantalla GPU de NVIDIA
NVIDIAuno de los fabricantes de GPU más conocidos, ha publicado un aviso de seguridad sobre múltiples vulnerabilidades descubiertas en su controlador de visualización de GPU para plataformas Windows y Linux. Estas vulnerabilidades pueden explotarse para llevar a cabo diversos tipos de ataques, como denegación de servicio, revelación de información, escalada de privilegios, ejecución de código o manipulación de datos.
Una de las vulnerabilidades de alta gravedad, CVE-2022-31607, afecta a la capa de modo kernel (nvidia.ko), donde un usuario local con capacidades básicas puede provocar una validación de entrada incorrecta que conduzca a varias rutas de explotación, según el aviso de seguridad deNVIDIA'. Esta vulnerabilidad afecta a Linux, y tiene una puntuación CVSS de 7,8 con una calificación alta en confidencialidad, integridad y disponibilidad.
CVE-2022-31608 describe una vulnerabilidad en un archivo de configuración opcional de D-Bus que puede conducir a la ejecución de código. La vulnerabilidad podría ser aprovechada por un usuario local con capacidades básicas. La mayoría de los CVE mencionados en el aviso de seguridad de NVIDIArequieren privilegios locales en el sistema de la víctima para que la explotación tenga éxito.
Puede utilizar esta guía de NVIDIA para saber qué controlador de pantalla NVIDIA está instalado actualmente en su PC.
Comentarios (2)
The link for this Joplin(https://joplin.org/) is wrong it should be https://joplinapp.org/
Hey Adrian – thanks for pointing that out. We’ve updated the link to point to the correct site.