Anand Namana

**Nome do software vulnerável e versões afetadas** Versões do jsreport-chrome-pdf anteriores à 1.10.0 **Descrição** A vulnerabilidade afeta o pacote jsreport-chrome-pdf. **Recomendações** Para versões anteriores à 1.10.0, atualize para a versão 1.10.0 ou posterior para resolver o problema.

**Nome do software vulnerável e versões afetadas** Versões do phantom-html-to-pdf anteriores à 0.6.1 **Descrição** A vulnerabilidade afeta o pacote phantom-html-to-pdf, permitindo uma possível exploração. Os detalhes técnicos sobre a exploração incluem o uso da função `conversion` do módulo “phantom-html-to-pdf”, onde definir `allowLocalFilesAccess` como `false` não impede o acesso a arquivos locais. Um exemplo de exploração usa o parâmetro `html` com uma instrução `document.write` para acessar o arquivo `c:/windows/win.ini`, demonstrando a vulnerabilidade. **Recomendações** Para versões anteriores à 0.6.1, atualize para a versão 0.6.1 ou posterior para resolver o problema. Como solução alternativa temporária, considere definir `allowLocalFilesAccess` como `true` e implementar validação adicional no parâmetro `html` para impedir o acesso malicioso a arquivos locais. No entanto, a atualização para uma versão corrigida é a solução recomendada.