Amemoyoi

NamelessMC is website software for Minecraft servers. In versions 2.2.4 and prior, the OAuth callback handling does not validate the state parameter server-side before exchanging the authorization code. This allows an attacker to capture a valid OAuth callback URL for their own account and cause a victim's browser to navigate to it, resulting in the victim's session being authenticated as the attacker-linked account (OAuth login CSRF / session swapping). This is patched in version 2.2.5.

**Name of the Vulnerable Software and Affected Versions** arduino-esp32 versões anteriores a 3.3.8 **Description** Um problema de corrupção de memória remotamente acessível existe no caminho de processamento de pacotes NBNS. Quando o NetBIOS é habilitado através da função `NBNS.begin()`, o dispositivo escuta na porta UDP 137 e processa solicitações NBNS não confiáveis da rede local. O analisador de solicitações confia no campo `name len` controlado pelo invasor sem impor um limite consistente com os buffers de destino de tamanho fixo usados posteriormente no fluxo. **Recommendations** Atualizar para a versão 3.3.8. Como medida paliativa temporária, evite chamar a função `NBNS.begin()` para desabilitar a funcionalidade NetBIOS.

**Name of the Vulnerable Software and Affected Versions** LinkAce versions prior to 2.5.3 **Description** LinkAce is a self-hosted archive for collecting website links. Versions before 2.5.3 prevent direct requests to private IP literals, but continue to make server-side requests to internal resources when referenced via an internal hostname. This allows an authenticated user to initiate server-side requests to internal services accessible by the LinkAce server, but not directly accessible from outside the network. The issue involves server-side request forgery, where an attacker can leverage the server to access internal resources. **Recommendations** Update to version 2.5.3 or later.

**Name of the Vulnerable Software and Affected Versions** LinkAce versions prior to 2.5.3 **Description** LinkAce is a self-hosted archive for website links. Versions prior to 2.5.3 allow disclosure of a private note attached to a non-private link to another authenticated user through the web interface. The API correctly enforces note visibility, but the web link detail page does not apply equivalent filtering. An authenticated user permitted to view another user’s `internal` or `public` link can read that user’s `private` notes attached to the link. **Recommendations** Update to version 2.5.3 or later.

**Nome do Software Vulnerável e Versões Afetadas** LIBPNG versões 1.6.36 a 1.6.55 **Description** Uma leitura e escrita fora de limites existe no caminho de expansão de paleta otimizado para Neon de ARM/AArch64. Ao expandir linhas de paleta de 8 bits para RGB ou RGBA, o loop Neon processa um fragmento parcial final sem verificar se restam pixels de entrada suficientes. Como a implementação funciona de trás para frente a partir do final da linha, a iteração final desreferencia ponteiros antes do início do buffer da linha, resultando em uma leitura fora de limites, e escreve dados de pixels expandidos nessas mesmas posições de subfluxo, causando uma escrita fora de limites. Este problema é acessível através da decodificação normal de entrada PNG controlada por um invasor se o Neon estiver habilitado. **Recommendations** Atualizar para a versão 1.6.56.