Xbow-Security

**Nome do Software Vulnerável e Versões Afetadas** Versões do GeoServer anteriores a 2.27.1 Versões do GeoServer anteriores a 2.26.3 Versões do GeoServer anteriores a 2.25.7 Versões do GeoTools anteriores a 33.1 Versões do GeoTools anteriores a 32.3 Versões do GeoTools anteriores a 31.7 Versões do GeoTools anteriores a 28.6.1 Versões do GeoNetwork anteriores a 4.4.8 Versões do GeoNetwork anteriores a 4.2.13 **Descrição** O problema está relacionado ao uso da biblioteca Eclipse XSD na classe Schema do GeoTools, que é vulnerável a exploits de Entidade Externa XML (XXE). Isso afeta usuários que expõem o processamento XML com o gt-xsd-core envolvido no parsing quando os documentos contêm uma referência a um esquema XML externo. A classe Schemas do gt-xsd-core não está utilizando o EntityResolver fornecido pelo ParserHandler. Isso também impacta usuários do DataStore gt-wfs-ng onde o parâmetro de conexão ENTITY RESOLVER não estava sendo usado conforme o pretendido. **Recomendações** Para versões do GeoServer anteriores a 2.27.1, atualize para a versão 2.27.1 ou posterior. Para versões do GeoServer anteriores a 2.26.3, atualize para a versão 2.26.3 ou posterior. Para versões do GeoServer anteriores a 2.25.7, atualize para a versão 2.25.7 ou posterior. Para versões do GeoTools anteriores a 33.1, atualize para a versão 33.1 ou posterior. Para versões do GeoTools anteriores a 32.3, atualize para a versão 32.3 ou posterior. Para versões do GeoTools anteriores a 31.7, atualize para a versão 31.7 ou posterior. Para versões do GeoTools anteriores a 28.6.1, atualize para a versão 28.6.1 ou posterior. Para versões do GeoNetwork anteriores a 4.4.8, atualize para a versão 4.4.8 ou posterior. Para versões do GeoNetwork anteriores a 4.2.13, atualize para a versão 4.2.13 ou posterior.

**Nome do Software Vulnerável e Versões Afetadas** Versões do TEIGarage anteriores à 1.2.4 **Descrição** O Serviço de Conversão de Documentos no TEIGarage contém uma vulnerabilidade crítica de Injeção de Entidade Externa XML (XXE) em sua funcionalidade de conversão de documentos. Isso permite que um atacante leia arquivos arbitrários do sistema de arquivos do servidor, potencialmente expondo arquivos de configuração, credenciais ou outras informações confidenciais. Dependendo da configuração do servidor, isso também pode ser utilizado para realizar ataques de Falsificação de Solicitação do Lado do Servidor (SSRF). **Recomendações** Para versões anteriores à 1.2.4, atualize para a versão 1.2.4 para resolver o problema. Como medida temporária, considere desativar o processamento de entidades externas no parser XML definindo os recursos de segurança apropriados, como `XMLConstants.FEATURE SECURE PROCESSING`.

**Nome do Software Vulnerável e Versões Afetadas** Versões do LocalS3 anteriores à 1.21 **Descrição** O problema envolve injeção de Entidade Externa XML (XXE) no endpoint de criação de bucket. Ao processar o documento XML CreateBucketConfiguration, o analisador XML do serviço resolve entidades externas sem a validação adequada, permitindo que um atacante declare uma entidade externa que referencie uma URL interna. Isso possibilita ataques de Falsificação de Solicitação no Lado do Servidor (SSRF), efetuando solicitações a serviços ou recursos internos que não deveriam ser acessíveis a partir de redes externas, e potencialmente vazando informações sensíveis. **Recomendações** Para versões anteriores à 1.21, atualize para a versão 1.21 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso ao endpoint de criação de bucket para minimizar o risco de exploração. Evite usar o documento XML CreateBucketConfiguration com entidades externas até que o problema seja resolvido.

**Name of the Vulnerable Software and Affected Versions** GHOSTS versions 8.0.0.0 through 8.2.7.89 **Description** A path traversal vulnerability was discovered in GHOSTS that allows an attacker to access files outside of the intended directory through the photo retrieval endpoint. The vulnerability exists in the "/api/npcs/{id}/photo" endpoint, which is designed to serve profile photos for NPCs (Non-Player Characters) but fails to properly validate and sanitize file paths. When an NPC is created with a specially crafted `photoLink` value containing path traversal sequences (../, .., etc.), the application processes these sequences without proper sanitization. This allows an attacker to traverse directory structures and access files outside of the intended photo directory, potentially exposing sensitive system files. The vulnerability is particularly severe because it allows reading arbitrary files from the server's filesystem with the permissions of the web application process, which could include configuration files, credentials, or other sensitive data. **Recommendations** For GHOSTS versions 8.0.0.0 through 8.2.7.89, upgrade to version 8.2.7.90 to address the vulnerability. As a temporary workaround, consider restricting access to the "/api/npcs/{id}/photo" endpoint until the issue is resolved. Avoid using the `photoLink` parameter in the affected API endpoint until the issue is resolved.

Name of the Vulnerable Software and Affected Versions: ZOO-Project (affected versions not specified) Description: A vulnerability in the ZOO-Project's WPS implementation allows unauthorized access to files outside the intended directory through path traversal. Specifically, the Gdal Translate service, when processing VRT files, does not properly validate file paths referenced in the VRTRasterBand element, allowing attackers to read arbitrary files on the system. The vulnerability exists because the service doesn't properly sanitize the `SourceFilename` parameter in VRT files, allowing relative path traversal sequences (../). This allows reading arbitrary files as raw binary data and converting them to TIFF format, effectively exposing their contents. An unauthenticated attacker can read arbitrary files from the system through path traversal, potentially accessing sensitive information such as configuration files, credentials, or other confidential data stored on the server. Recommendations: To resolve the issue, all users are advised to upgrade to a version that includes the fix, as committed in `5f155a8`. As a temporary workaround, consider restricting access to the Gdal Translate service until the update is applied. Additionally, avoid using the `SourceFilename` parameter in VRT files until the issue is resolved. There are no known workarounds for this vulnerability.

Nome do Software Vulnerável e Versões Afetadas: Versões do Label Studio anteriores à 1.16.0 Versões do Label Studio SDK anteriores à 1.0.10 Descrição: Uma vulnerabilidade de traversia de caminho no Label Studio SDK permite acesso não autorizado a arquivos fora da estrutura de diretórios pretendida. A falha reside nas funcionalidades de exportação VOC, COCO e YOLO, que invocam uma função `download` no pacote Python `label-studio-sdk` que falha ao validar caminhos de arquivos ao processar referências de imagem durante exportações de tarefas. Ao criar tarefas com sequências de traversia de caminho no campo de imagem, um atacante pode forçar o aplicativo a ler arquivos de locais arbitrários do sistema de arquivos do servidor ao exportar projetos em qualquer um dos formatos mencionados. Esta é uma vulnerabilidade que requer autenticação, permitindo a leitura arbitrária de arquivos do sistema de arquivos do servidor, potencialmente expondo informações sensíveis como arquivos de configuração, credenciais e dados confidenciais. Recomendações: Para mitigar este problema, os usuários do Label Studio devem atualizar para a versão 1.16.0 ou superior. Como solução temporária, considere validar e sanitizar caminhos de arquivos, adicionar uma lista de permitidos de diretórios e tipos de arquivos, implementar controles de acesso a arquivos e usar nomes de arquivos aleatórios e abstração de armazenamento de arquivos segura. Restrinja o acesso à função vulnerável `download` no pacote Python `label-studio-sdk` para minimizar o risco de exploração. Evite usar o campo `image` no endpoint da API afetado até que o problema seja resolvido.

Name of the Vulnerable Software and Affected Versions: Label Studio versions prior to 1.16.0 Description: Label Studio's S3 storage integration feature contains a Server-Side Request Forgery (SSRF) vulnerability in its endpoint configuration. When creating an S3 storage connection, the application allows users to specify a custom S3 endpoint URL via the `s3 endpoint` parameter. This endpoint URL is passed directly to the boto3 AWS SDK without proper validation or restrictions on the protocol or destination. The vulnerability allows an attacker to make the application send HTTP requests to arbitrary internal services by specifying them as the S3 endpoint. When the storage sync operation is triggered, the application attempts to make S3 API calls to the specified endpoint, effectively making HTTP requests to the target service and returning the response in error messages. This SSRF vulnerability enables attackers to bypass network segmentation and access internal services that should not be accessible from the external network. The vulnerability is particularly severe because error messages from failed requests contain the full response body, allowing data exfiltration from internal services. Recommendations: To resolve the issue, update to version 1.16.0 or later, which contains a patch for the SSRF vulnerability. As a temporary workaround, consider implementing strict validation of S3 endpoint URLs to allow only valid S3 service endpoints, adding an allowlist of endpoint domains and protocols, and sanitizing error messages to prevent leakage of sensitive information from failed requests. Additionally, consider implementing network-level controls to restrict outbound connections from the application server.

Nome do Software Vulnerável e Versões Afetadas: Versões do Label Studio anteriores à 1.16.0 Descrição: A falha permite a injeção de HTML arbitrário através de uma requisição `GET` com um parâmetro de query `label config` devidamente manipulado no endpoint `/projects/upload-example`. Isso possibilita Cross-Site Scripting (XSS) ao renderizar conteúdo HTML fornecido pelo usuário sem a devida sanitização. Embora a aplicação possua uma Política de Segurança de Conteúdo (CSP), ela é ineficaz na prevenção da execução de scripts porque está configurada em modo apenas de relatório. A vulnerabilidade pode ser explorada levando vítimas a visitar uma URL maliciosamente construída, permitindo potencialmente o roubo de dados sensíveis, sequestro de sessão ou outras ações maliciosas. Recomendações: Para versões anteriores à 1.16.0, atualize para a versão 1.16.0 ou posterior para resolver o problema. Como solução temporária, considere habilitar a Política de Segurança de Conteúdo em modo de imposição em vez do modo apenas de relatório para bloquear ativamente a execução de scripts não autorizados. Restrinja o acesso ao endpoint `/projects/upload-example` para minimizar o risco de exploração. Evite usar o parâmetro de query `label config` no endpoint de API afetado até que o problema seja resolvido.

Nome do Software Vulnerável e Versões Afetadas: Versões do ZOO-Project anteriores ao commit 7a5ae1a Descrição: O problema está relacionado a uma vulnerabilidade de Cross-Site Scripting refletido no script CGI publish.py do ZOO-Project Web Processing Service (WPS). Esta vulnerabilidade ocorre porque o script reflete a entrada do usuário do parâmetro `jobid` em sua resposta HTTP sem a devida codificação HTML ou sanitização, permitindo que um atacante injete código JavaScript malicioso. Quando uma vítima acessa uma URL especialmente elaborada apontando para este endpoint, código JavaScript arbitrário pode ser executado no contexto do navegador dela. Recomendações: Como medida de contorno temporária, considere desativar o parâmetro `jobid` no script CGI publish.py até que uma correção esteja disponível. Restrinja o acesso ao script CGI publish.py para minimizar o risco de exploração. Evite utilizar o parâmetro `jobid` no endpoint afetado até que o problema seja resolvido. Atualize para uma versão que inclua a correção fornecida no commit 7a5ae1a para resolver o problema.

Nome do Software Vulnerável e Versões Afetadas: Versões do ZOO-Project anteriores ao commit 7a5ae1a Descrição: O Servidor de Serviço de Processamento Web (WPS) do ZOO-Project contém uma vulnerabilidade de Cross-Site Scripting (XSS) em seu serviço EchoProcess. A vulnerabilidade existe porque o serviço EchoProcess reflete diretamente a entrada do usuário em sua saída sem a sanitização adequada ao lidar com entradas complexas. O serviço aceita vários formatos de entrada, incluindo XML, JSON e SVG, e retorna o conteúdo com base no tipo MIME solicitado. Ao processar conteúdo SVG e retorná-lo com o tipo MIME image/svg+xml, o servidor falha em sanitizar JavaScript potencialmente malicioso em atributos como `onload`, permitindo a execução arbitrária de JavaScript no contexto do navegador da vítima. Recomendações: Para versões do ZOO-Project anteriores ao commit 7a5ae1a, atualize para uma versão que inclua a correção implementada no commit 7a5ae1a para resolver o problema. Como solução temporária, considere desabilitar o serviço EchoProcess ou restringir o tratamento de conteúdo SVG para minimizar o risco de exploração. Evite usar o serviço EchoProcess com entradas SVG até que o problema seja resolvido.

Nome do Software Vulnerável e Versões Afetadas: org.gaul S3Proxy versões anteriores à 2.6.0 Descrição: O problema afeta usuários dos backends de armazenamento filesystem e filesystem-nio2, potencialmente expondo arquivos locais a clientes autenticados. Isso pode levar ao acesso não autorizado a informações sensíveis. Não há soluções alternativas conhecidas para este problema. Recomendações: Para versões anteriores à 2.6.0, atualize para a versão 2.6.0 para resolver o problema. Como solução alternativa temporária, considere restringir o acesso aos backends de armazenamento filesystem e filesystem-nio2 até que a atualização seja aplicada.

Nome do software vulnerável e versões afetadas: ZOO-Project (versões afetadas não especificadas) Descrição: Foi descoberta uma vulnerabilidade de traversal de caminho no exemplo Echo do ZOO-Project, uma implementação do WPS (Web Processing Service) em C. O exemplo Echo, disponível por padrão nas instalações do Zoo, implementa o armazenamento em cache de arquivos controlado por parâmetros fornecidos pelo usuário. Devido à falta de validação de entrada nesse parâmetro, um invasor pode controlar totalmente o arquivo retornado na resposta. Recomendações: No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

Nome do software vulnerável e versões afetadas: EDDI (Enhanced Dialog Driven Interface) versões anteriores à 5.4 Descrição: Existe uma vulnerabilidade de traversal de caminho na funcionalidade de exportação de backup do EDDI, conforme implementada em `RestExportService.java`. Essa vulnerabilidade permite que um invasor acesse arquivos confidenciais no servidor manipulando o parâmetro `botFilename` nas solicitações. O aplicativo não sanitiza a entrada do usuário, permitindo que entradas maliciosas, como `..%2f..%2fetc%2fpasswd`, acessem arquivos arbitrários. No entanto, a gravidade dessa vulnerabilidade é significativamente limitada, pois o EDDI normalmente é executado dentro de um contêiner Docker, que fornece camadas adicionais de isolamento e permissões restritas. Como resultado, embora essa vulnerabilidade exponha arquivos dentro do contêiner, ela não ameaça inerentemente o sistema host subjacente ou outros contêineres. Recomendações: Para versões anteriores à 5.4, atualize para a versão 5.4, que contém o patch necessário para sanitizar e validar o parâmetro de entrada `botFilename`. Como solução alternativa temporária, considere restringir o acesso ao endpoint vulnerável por meio de regras de firewall ou mecanismos de autenticação.