0Xn3Va

**Nome do Software Vulnerável e Versões Afetadas** Versões do LangChain anteriores a 0.3.37 Versões do @langchain/core anteriores a 0.3.80 Versões do LangChain anteriores a 1.2.3 Versões do @langchain/core anteriores a 1.1.8 **Descrição** O LangChain é um framework projetado para construir aplicações alimentadas por Modelos de Linguagem de Grande Porte (LLMs). Existe um problema de serialização no método `toJSON()` do LangChain JS, impactando versões anteriores a 0.3.37 e 1.2.3 para o LangChain, e anteriores a 0.3.80 e 1.1.8 para o @langchain/core. Este problema surge porque o método não escapa corretamente objetos contendo chaves 'lc' ao serializar dados usando `JSON.stringify()`. A chave 'lc' é usada internamente pelo LangChain para identificar objetos serializados. Se os dados fornecidos pelo usuário incluírem esta estrutura de chave, eles podem ser interpretados incorretamente como um objeto LangChain legítimo durante a desserialização, em vez de serem tratados como dados simples do usuário. Isso poderia potencialmente levar ao acesso não autorizado ou manipulação de dados. **Recomendações** Atualize para o LangChain versão 0.3.37 ou posterior. Atualize para o @langchain/core versão 0.3.80 ou posterior. Atualize para o LangChain versão 1.2.3 ou posterior. Atualize para o @langchain/core versão 1.1.8 ou posterior.

**Nome do Software Vulnerável e Versões Afetadas** Versões do LangChain anteriores a 0.3.81 e 1.2.5 **Descrição** As funções `dumps()` e `dumpd()` do LangChain estão suscetíveis a um problema de injeção de serialização. Essas funções não escapam corretamente dicionários contendo chaves 'lc' ao serializar dados. A chave 'lc' é usada internamente pelo LangChain para identificar objetos serializados. Quando dados controlados pelo usuário incluem essa estrutura de chave, eles são incorretamente tratados como um objeto legítimo do LangChain durante a desserialização, em vez de serem reconhecidos como dados simples do usuário. Isso pode levar à extração de informações sensíveis, como variáveis de ambiente, e potencialmente permitir a execução de código arbitrário. A vulnerabilidade é particularmente perigosa quando respostas de LLM influenciam dados serializados, pois a injeção de prompt pode ser usada para explorar essa falha. O problema afeta vários componentes, incluindo `astream events(version="v1")`, `Runnable.astream log()`, e cenários envolvendo a desserialização de dados não confiáveis. **Recomendações** Atualize para a versão do LangChain 0.3.81 ou 1.2.5 ou posterior.

**Nome do software vulnerável e versões afetadas** Versões do GitLab-EE 13.3 a 17.1.7 Versões do GitLab-EE 17.2 a 17.2.5 Versões do GitLab-EE 17.3 a 17.3.2 **Descrição** Foi descoberta uma vulnerabilidade no GitLab-EE que permitiria a um invasor modificar uma varredura DAST sob demanda sem permissões e vazar variáveis. Essa vulnerabilidade afeta as versões a partir da 13.3 até a 17.1.7, da 17.2 até a 17.2.5 e da 17.3 até a 17.3.2. **Recomendações** Para as versões do GitLab-EE 13.3 a 17.1.7, atualize para a versão 17.1.7 ou posterior para resolver a falha. Para as versões do GitLab-EE 17.2 a 17.2.5, atualize para a versão 17.2.5 ou posterior para resolver a falha. Para as versões do GitLab-EE 17.3 a 17.3.2, atualize para a versão 17.3.2 ou posterior para resolver o problema. Como solução alternativa temporária, considere restringir o acesso ao recurso de varredura DAST até que um patch esteja disponível.

**Name of the Vulnerable Software and Affected Versions** GitLab versions 15.1 through 15.8.4 GitLab versions 15.9 through 15.9.3 GitLab versions 15.10 through 15.10.0 **Description** An issue in GitLab allows a maintainer to modify a webhook URL, potentially leaking masked webhook secrets by adding a new parameter to the URL. This issue is related to an incomplete fix for a previously identified problem. **Recommendations** For GitLab versions 15.1 through 15.8.4, update to version 15.8.5 or later. For GitLab versions 15.9 through 15.9.3, update to version 15.9.4 or later. For GitLab versions 15.10 through 15.10.0, update to version 15.10.1 or later.

**Nome do software vulnerável e versões afetadas** Versões 12.0 a 14.3.5 do GitLab CE/EE Versões 14.4 a 14.4.3 do GitLab CE/EE Versões 14.5 a 14.5.1 do GitLab CE/EE **Descrição** Uma vulnerabilidade de negação de serviço permite que usuários com privilégios limitados contornem os limites de tamanho de arquivo no repositório de pacotes NPM, podendo causar negação de serviço. **Recomendações** Para as versões 12.0 a 14.3.5 do GitLab CE/EE, atualize para a versão 14.3.6 ou posterior. Para as versões 14.4 a 14.4.3 do GitLab CE/EE, atualize para a versão 14.4.4 ou posterior. Para as versões 14.5 a 14.5.1 do GitLab CE/EE, atualize para a versão 14.5.2 ou posterior.

**Nome do software vulnerável e versões afetadas: GitLab CE/EE versões 11.9 a 14.0.8 GitLab CE/EE versões 14.1 a 14.1.3 GitLab CE/EE versões 14.2 a 14.2.1 Descrição: Uma vulnerabilidade de negação de serviço (DoS) na gem Ruby apollo upload server permite que um invasor bloqueie o acesso de todos os usuários por meio de solicitações especialmente criadas para o middleware apollo upload server. Recomendações: Para as versões 11.9 a 14.0.8, atualize para a versão 14.0.9 ou posterior. Para as versões 14.1 a 14.1.3, atualize para a versão 14.1.4 ou posterior. Para as versões 14.2 a 14.2.1, atualize para a versão 14.2.2 ou posterior.

**Nome do software vulnerável e versões afetadas: Versões do GitLab EE 13.10 a 14.1.7 Versões do GitLab EE 14.2 a 14.2.5 Versões do GitLab EE 14.3 a 14.3.1 Descrição: Um endpoint específico da API pode revelar detalhes sobre um grupo privado e outras informações confidenciais contidas nos modelos de issues e solicitações de mesclagem. Recomendações: Para as versões 13.10 a 14.1.7, atualize para a versão 14.1.7 ou posterior. Para as versões 14.2 a 14.2.5, atualize para a versão 14.2.5 ou posterior. Para as versões 14.3 a 14.3.1, atualize para a versão 14.3.1 ou posterior.

**Nome do software vulnerável e versões afetadas** GitLab EE versões 13.10 e posteriores **Descrição** A vulnerabilidade está relacionada a um problema de divulgação de informações, em que a falta de verificação do controle de acesso permite que um invasor remoto obtenha acesso a dados confidenciais. Isso permite que um usuário leia detalhes do projeto. **Recomendações** Para as versões 13.10 e posteriores do GitLab EE, no momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.