Boletín de vulnerabilidades

Django Channels versiones 3.x anteriores a 3.0.3, permite a atacantes remotos obtener información confidencial de un alcance de petición diferente. La clase channels.http.AsgiHandler legacy, usada para manejar peticiones de tipo HTTP en un entorno ASGI anterior a Django versión 3.0, no separaba correctamente los ámbitos de petición en Channels versión 3.0. En muchos casos, esto resulta en un bloqueo, pero, con el tiempo correcto, las respuestas podrían ser enviadas al cliente equivocado, resultando en una posible filtración de identificadores de sesión y otros datos confidenciales. Note que esto afecta solo a la clase legacy proporcionada de Channels, y no al ASGIHandler similar de Django, disponible en Django versión 3.0

En Botan versiones anteriores a 2.17.3, los cálculos de tiempo constante no son usados para determinadas operaciones de decodificación y codificación (base32, base58, base64 y hex)

El archivo Modules/input/Views/schedule.php en Emoncms versiones hasta 10.2.7, permite un ataque de tipo XSS por medio del parámetro node

Livy Server versión 0.7.0-incubating (solamente) es vulnerable a un problema de tipo cross site scripting en el nombre de la sesión. Un usuario malicioso podría usar este fallo para acceder a los registros y resultados de las sesiones de otros usuarios y ejecutar trabajos con sus privilegios. Este problema es corregido en Livy versión 0.7.1-incubating