Mistz1

**Nome do Software Vulnerável e Versões Afetadas** Rucio versões 1.27.0 até 35.8.4 Rucio versões 38.x até 38.5.4 Rucio versões 39.x até 39.4.1 Rucio versões 40.x até 40.1.0 **Description** Uma falha de injeção de SQL na função `create sqla query()` permite que usuários autenticados executem comandos SQL arbitrários contra o banco de dados backend. Isso ocorre especificamente em implantações Oracle que utilizam o plugin padrão `json meta`. A falha existe porque chaves e valores de filtro controlados pelo invasor são interpolados diretamente no `sqlalchemy.text()` usando a formatação de string do Python, ignorando a parametrização. Isso pode ser explorado através do endpoint 'GET /dids/<scope>/dids/search'. A exploração bem-sucedida pode levar ao comprometimento total do banco de dados, incluindo a extração de hashes de senha, tokens de autenticação e identificadores de dados gerenciados, bem como a potencial modificação do conteúdo do banco de dados. **Recommendations** Atualize para a versão 35.8.5. Atualize para a versão 38.5.5. Atualize para a versão 39.4.2. Atualize para a versão 40.1.1. Como mitigação temporária, restrinja o acesso ao endpoint 'GET /dids/<scope>/dids/search'.

**Nome do Software Vulnerável e Versões Afetadas** Rucio versões 1.30.0 até 35.8.4 Rucio versões 38.x até 38.5.4 Rucio versões 39.x até 39.4.1 Rucio versões 40.x até 40.1.0 **Description** Um problema existe na função `FilterEngine.create postgres query()` onde usuários autenticados podem executar SQL arbitrário contra o banco de dados de metadados PostgreSQL. Isso ocorre quando o plugin de metadados `postgres meta` está configurado, pois chaves e valores de filtro controlados pelo invasor são interpolados diretamente em strings SQL brutas usando `.format()` do Python, que são então processadas como sintaxe confiável pelo `sql.SQL()` do `psycopg3`. A falha é acessível através do endpoint 'GET /dids/<scope>/dids/search'. Dependendo dos privilégios do banco de dados, isso pode levar à exposição de tabelas sensíveis (como `identities`, `tokens`, `accounts`, `rse settings` e `rules`), modificação ou exclusão de metadados, acesso a arquivos do servidor ou execução remota de código através do recurso `COPY ... FROM PROGRAM`. Hashes de senhas também podem ser extraídos e quebrados devido ao uso de SHA-256 de iteração única sem uma Função de Derivação de Chave (KDF), um método usado para fortalecer senhas antes da compactação. **Recommendations** Atualizar para a versão 35.8.5. Atualizar para a versão 38.5.5. Atualizar para a versão 39.4.2. Atualizar para a versão 40.1.1. Como mitigação temporária, restrinja o acesso ao endpoint 'GET /dids/<scope>/dids/search' ou desative o plugin de metadados `postgres meta`.

**Name of the Vulnerable Software and Affected Versions** New API versions prior to 0.11.4-alpha.2 **Description** The software features an Insecure Direct Object Reference (IDOR) in the video proxy endpoint. Any authenticated user can access video content belonging to other users by exploiting a missing authorization check. Specifically, the `model.GetByOnlyTaskId(taskID)` function queries tasks using only the `task id` without verifying user ownership, while other task lookups correctly enforce ownership using `model.GetByTaskId(userId, taskID)`. This allows an attacker to bypass tenant isolation for generated media assets and potentially access sensitive data, including upstream response headers and API keys used for contacting AI providers like Google Gemini and OpenAI. The vulnerable API endpoint is `GET /v1/videos/:task id/content`. The vulnerable parameter is `task id`. The vulnerable handler is `controller.VideoProxy`. An attacker can exploit this by sending a request to the affected API endpoint with a known `task id` belonging to another user. **Recommendations** Replace the task lookup in `VideoProxy` with an ownership-checked query: ```go userId := c.GetInt("id") task, exists, err := model.GetByTaskId(userId, taskID) ```

**Name of the Vulnerable Software and Affected Versions** ormar versions 0.23.0 and below **Description** ormar, an async mini ORM for Python, has a Pydantic validation bypass issue in its model constructor. This allows unauthenticated users to skip all field validation by injecting " pk only ": true into a JSON request body. The injection of " pk only ": true allows bypassing type checks, constraints, and other validation rules, leading to the persistence of unvalidated data in the database. A secondary issue involves the " excluded " parameter, which can be used to selectively nullify arbitrary model fields during construction. This affects the recommended FastAPI integration pattern, potentially enabling privilege escalation, data integrity violations, and business logic bypass. The root cause is the direct extraction of " pk only " from user-supplied keyword arguments before validation occurs. The ` pk only ` flag was originally intended for internal optimization but is accessible to external callers. The affected entry points include FastAPI routes using ormar models as request body parameters, as well as direct calls to `Model.objects.create(**user dict)` and `Model(**user dict)`. **Recommendations** Versions prior to 0.23.1 are affected. Replace `kwargs.pop(" pk only ", False)` with a keyword-only parameter that cannot be injected via `**kwargs`. Replace `kwargs.pop(" excluded ", set())` with a keyword-only parameter that cannot be injected via `**kwargs`.

**Nome do Software Vulnerável e Versões Afetadas** Statmatic versões 6.0.0 a 6.3.9 **Descrição** O Statmatic é um sistema de gerenciamento de conteúdo (SGC) baseado em Laravel e Git. Usuários autenticados do Painel de Controle podem, sob certas condições, obter privilégios elevados sem concluir a etapa de verificação prevista. Isso pode permitir acesso a operações sensíveis e, potencialmente, levar à elevação de privilégios, dependendo das permissões existentes do usuário. **Recomendações** As versões 6.0.0 a 6.3.9 do Statmatic devem ser atualizadas para a versão 6.4.0.

**Name of the Vulnerable Software and Affected Versions** calibre versions prior to 9.4.0 **Description** calibre is an e-book manager for viewing, converting, editing, and cataloging e-books. A HTTP Response Header Injection exists in the calibre Content Server for versions before 9.4.0. An authenticated user can inject arbitrary HTTP headers into server responses through an unsanitized `content disposition` query parameter. This occurs in the `/get/` and `/data-files/get/` API endpoints. The issue is exploitable by any authenticated user, potentially through a crafted link. All users running the calibre Content Server with authentication enabled are affected. **Recommendations** Update to calibre version 9.4.0 or later.