4Xpl0R3R

Nome do software vulnerável e versões afetadas: Node.js (versões afetadas não especificadas) Descrição: Foi identificada uma vulnerabilidade no Node.js, que afeta os usuários do modelo de permissão experimental quando o sinalizador `--allow-fs-write` é utilizado. O modelo de permissão do Node.js não opera em descritores de arquivo; no entanto, operações como `fs.fchown` ou `fs.fchmod` podem usar um descritor de arquivo “somente leitura” para alterar o proprietário e as permissões de um arquivo. Esse problema está relacionado a falhas no controle de acesso. Recomendações: No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Rust (versões afetadas não especificadas) **Descrição** O problema está relacionado ao componente std::process::Command da linguagem de programação Rust em sistemas operacionais Windows. Envolve a injeção ou modificação de argumentos, permitindo potencialmente que um invasor execute código arbitrário ao chamar arquivos em lote do usuário com extensões .bat e .cmd. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Versões do follow-redirects anteriores à 1.15.6 **Descrição** O problema está relacionado à proteção insuficiente de dados confidenciais no módulo follow-redirects, que é um substituto direto para os módulos `http` e `https` do Node. Esse módulo segue redirecionamentos automaticamente, mas apenas limpa o cabeçalho de autorização durante redirecionamentos entre domínios, mantendo o cabeçalho de autenticação do proxy que contém credenciais. Isso pode levar ao vazamento de credenciais. Não há soluções alternativas conhecidas para esse problema. **Recomendações** Para versões anteriores à 1.15.6, atualize para a versão 1.15.6 para resolver o problema. Como solução alternativa temporária, considere remover o cabeçalho de autenticação de proxy durante redirecionamentos entre domínios.

**Nome do software vulnerável e versões afetadas** Student Information Chatbot versão a0196ab **Descrição** A vulnerabilidade permite a injeção de SQL por meio do parâmetro `username` na função `login` do arquivo `index.php`. Isso pode levar ao acesso não autorizado a dados confidenciais. **Recomendações** Para a versão a0196ab, considere desativar a função `login` em `index.php` até que um patch esteja disponível para impedir a injeção de SQL por meio do `username`. Restrinja o acesso ao arquivo `index.php` para minimizar o risco de exploração. Evite usar a variável `username` na função de login afetada até que o problema seja resolvido.