Akiilex

**Nome do Software Vulnerável e Versões Afetadas** protobufjs versões anteriores a 7.5.6 protobufjs versões anteriores a 8.0.2 **Descrição** O protobufjs permite que certos caminhos de opção de esquema atravessem propriedades de objetos herdados durante a aplicação de opções. Um esquema protobuf ou descritor JSON manipulado pode fazer com que a manipulação de opções escreva em propriedades de construtores JavaScript globais, corrompendo a funcionalidade integrada de todo o processo. Isso pode resultar em uma negação de serviço persistente durante a vida útil do processo afetado. O problema afeta aplicações que analisam ou carregam esquemas ou descritores protobuf de fontes não confiáveis usando APIs de reflexão como `parse()`, `Root.load()`, `Root.loadSync()` ou `Root.fromJSON()`. Aplicações que utilizam esquemas integrados ou confiáveis para decodificar cargas úteis não confiáveis não são afetadas diretamente. **Recomendações** Atualize para a versão 7.5.6. Atualize para a versão 8.0.2. Evite analisar ou carregar esquemas protobuf ou descritores JSON de fontes não confiáveis. Valide ou rejeite nomes de opções que contenham componentes de caminho de propriedade inseguros antes de carregá-los. Execute o processamento de esquemas em um processo isolado.

**Nome do Software Vulnerável e Versões Afetadas** Istio versões anteriores a 1.28.6 Istio versões anteriores a 1.29.2 **Descrição** Quando um recurso RequestAuthentication é criado com um `jwksUri` apontando para um serviço interno, o istiod realiza uma requisição HTTP GET não autenticada para essa URL sem filtrar endereços IP de localhost ou link-local. Esse comportamento pode resultar na distribuição de dados sensíveis para proxies Envoy via configuração xDS. **Recomendações** Atualizar para a versão 1.28.6. Atualizar para a versão 1.29.2. Implantar uma `ValidatingAdmissionPolicy` para impedir a criação de recursos RequestAuthentication com valores suspeitos no campo `jwksUri`, como localhost, 127.0.0.0/8, 169.254.0.0/16 e suas variantes IPv6.