Saidakbarxon Maxsudxonov

An integer overflow in the mtar next() function in src/microtar.c in rxi microtar 0.1.0 allows a remote attacker to cause a denial of service (uncontrolled CPU consumption / infinite loop) via a crafted tar archive. mtar next() computes the offset to the next record as round up(h.size, 512) + sizeof(mtar raw header t) using 32-bit arithmetic. When the header size field is a multiple of 512 in the range 0xFFFFFC01-0xFFFFFE00 (e.g. 0xFFFFFE00), the addition wraps to 0, so mtar next() seeks to the current record position instead of advancing. As a result, mtar find() and any loop that iterates entries with mtar next() repeat indefinitely over the same record, hanging the process at 100% CPU with no recovery.

**Nome do Software Vulnerável e Versões Afetadas** rxi microtar versão 0.1.0 **Description** Um estouro de buffer baseado em pilha ocorre na função `raw to header()` em `src/microtar.c`. A função utiliza `strcpy()` para copiar os campos de nome e linkname de 100 bytes de um cabeçalho TAR sem garantir que a origem esteja terminada em nulo. Como o formato POSIX ustar permite que esses campos de largura fixa sejam totalmente preenchidos com bytes não nulos, um arquivo manipulado onde o campo linkname e o preenchimento subsequente não possuam um terminador nulo faz com que o `strcpy()` leia e escreva além dos limites do buffer de pilha do cabeçalho bruto de 512 bytes. Um invasor remoto pode disparar isso ao fornecer um arquivo TAR malicioso para ser processado via `mtar open()`, `mtar read header()` ou `mtar find()`, resultando em uma leitura fora dos limites e um estouro de buffer de pilha, o que pode causar a negação de serviço ou a execução de código arbitrário. **Recommendations** Para a versão 0.1.0, no momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** Pimcore CMS/DXP versão 12.3.8 **Descrição** Um bypass de sandbox permite que atacantes administrativos autenticados executem métodos arbitrários em objetos PHP. Isso ocorre devido a implementações vazias de `checkMethodAllowed()` e `checkPropertyAllowed()` na SecurityPolicy customizada do Twig. Ao fornecer templates Twig maliciosos através do componente 'DataObject ClassDefinition LayoutText', os atacantes podem realizar leituras arbitrárias de arquivos e executar consultas arbitrárias ao banco de dados. Além disso, o curinga de função `pimcore *` amplia o bypass para todas as funções Twig do Pimcore, podendo levar à execução remota de código via cadeias de gadgets de objetos PHP. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** Typemill versões anteriores a 2.24.0 **Description** Atacantes autenticados com privilégios de nível de Autor podem ler arquivos arbitrários fora do diretório de conteúdo. Isso é possível ao fornecer sequências de travessia no parâmetro de consulta `path` passado para a função `getFile()` dentro da classe `Storage` quando um argumento de pasta vazio é utilizado. Esta ação ignora os controles de prevenção de travessia implementados na função `getFolderPath()`. **Recommendations** Atualize para a versão 2.24.0 ou posterior. Como medida paliativa temporária, restrinja o acesso à função `getFile()` ou monitore o parâmetro `path` em busca de sequências de travessia.

**Nome do Software Vulnerável e Versões Afetadas** LiamBindle MQTT-C versões anteriores a 1.1.7 **Descrição** Uma leitura fora dos limites do heap (out-of-bounds read) e um subfluxo de inteiro (integer underflow) existem na função `mqtt unpack publish response()` em `src/mqtt.c`. Um invasor remoto não autenticado que controle um broker MQTT ou consiga injetar tráfego em uma sessão não criptografada pode causar a falha (crash) de um cliente inscrito e potencialmente expor a memória adjacente do heap ao enviar um pacote PUBLISH manipulado. O problema ocorre porque a função não verifica se o campo `topic name size`, lido do pacote, somado ao overhead, cabe dentro do `remaining length` do cabeçalho fixo. Isso leva a um subfluxo de inteiro ao calcular o `application message size` usando aritmética sem sinal, que é então passado para a função `memmove()`. Por exemplo, um pacote com `topic name size` definido como 0xFFFF e `remaining length` definido como 7 faz com que o ponteiro de análise avance 65535 bytes além do buffer de recebimento e resulte em um `application message size` próximo a 2^32, derrubando o processo. **Recomendações** Atualize para uma versão posterior a 1.1.6. Como medida paliativa temporária, restrinja o acesso à função `mqtt unpack publish response()` ou evite a conexão com brokers MQTT não confiáveis até que uma correção seja aplicada.

microtar through 0.1.0 contains a stack-based buffer overflow vulnerability in the raw to header() function in src/microtar.c that allows attackers to corrupt adjacent stack memory by supplying a crafted TAR archive with non-null-terminated name or linkname fields. The function uses strcpy() to copy 100-byte ustar format fields that lack null terminators, causing writes of up to 355 bytes into a 100-byte destination buffer when mtar open(), mtar find(), or mtar read header() process attacker-supplied TAR archives.