Alessio Dellalibera

**Nome do software vulnerável e versões afetadas: versões do total.js anteriores à 3.4.7 Descrição: O problema ocorre nas funções `image.pipe` e `image.stream` devido ao parâmetro `type` ser usado para construir um comando que é executado usando `child process.spawn` com a opção `shell` definida como true, e porque o parâmetro `type` não é devidamente sanitizado. Isso leva a uma vulnerabilidade de injeção de comando. Recomendações: Para versões anteriores à 3.4.7, atualize para a versão 3.4.7 ou posterior para resolver o problema. Como solução temporária, considere desativar as funções `image.pipe` e `image.stream` até que um patch esteja disponível. Restrinja o acesso a essas funções para minimizar o risco de exploração. Evite usar o parâmetro `type` nas funções afetadas até que o problema seja resolvido.

**Nome do software vulnerável e versões afetadas: Versões do total.js anteriores à 3.4.7 Descrição: O problema está relacionado a uma vulnerabilidade de contaminação de protótipos na função `set`, que pode ser usada para definir um valor em um objeto de acordo com um caminho. No entanto, as chaves do caminho que está sendo definido não são devidamente sanitizadas. O impacto depende da aplicação e pode levar a Negação de Serviço (DoS), Execução Remota de Código ou Injeção de Propriedade em alguns casos. Recomendações: Para versões do total.js anteriores à 3.4.7, atualize para a versão 3.4.7 ou posterior para resolver o problema. Como solução temporária, considere restringir o uso da função set para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Versões do doc-path anteriores à 2.1.2 **Descrição** O problema afeta o pacote doc-path. **Recomendações** Para versões anteriores à 2.1.2, atualize para a versão 2.1.2 ou posterior para resolver o problema.