Andrewmohawk

**Nome do Software Vulnerável e Versões Afetadas** undici versões anteriores a 7.28.0 undici versões anteriores a 8.5.0 **Descrição** O interceptor de cache classifica incorretamente certas respostas como cacheáveis quando o cabeçalho Cache-Control upstream contém nomes de campos privados qualificados ou no-cache com preenchimento de espaços em branco, como `private=" authorization"` ou `no-cache="tauthorization"`. Como o analisador preserva esses espaços em branco, as comparações com o nome de campo literal `authorization` falham, fazendo com que a resposta seja armazenada. No modo de cache compartilhado, isso pode levar à divulgação de informações entre usuários, onde uma resposta contendo dados autenticados de um usuário é servida do cache para um chamador subsequente, incluindo usuários não autenticados, caso ambas as solicitações compartilhem a mesma chave de cache. **Recomendações** Atualize para a versão 7.28.0. Atualize para a versão 8.5.0. Desative o modo de cache compartilhado para o tráfego que inclui cabeçalhos de Autorização. Evite o cache de respostas para solicitações autenticadas. Adicione `Vary: Authorization` no upstream.

**Name of the Vulnerable Software and Affected Versions** nghttp2 versions prior to 1.68.1 **Description** nghttp2 is a C implementation of the Hypertext Transfer Protocol version 2. Versions of nghttp2 prior to 1.68.1 are susceptible to a denial-of-service condition. This occurs because the library does not properly validate its internal state after the `nghttp2 session terminate session` or `nghttp2 session terminate session2` APIs are called. Consequently, the library continues to process incoming data, and a malformed frame can trigger an assertion failure, leading to a crash. The issue is triggered by receiving a frame that causes a FRAME SIZE ERROR. **Recommendations** Update to nghttp2 version 1.68.1 or later.

**Name of the Vulnerable Software and Affected Versions** @web3-react versions prior to the updated npm artifacts **Description** The `chainId` may be outdated if the user changes chains as part of the connection flow, causing the value of `chainId` returned by `useWeb3React()` to be incorrect. This can lead to incorrect data derived from `chainId`, such as a wrapped token contract address in a swapping application, potentially causing users to send funds to the incorrect address. **Recommendations** For @web3-react versions prior to the updated npm artifacts, upgrade to at least: - @web3-react/coinbase-wallet@^8.0.35-beta.0 - @web3-react/eip1193@^8.0.27-beta.0 - @web3-react/metamask@^8.0.30-beta.0 - @web3-react/walletconnect@^8.0.37-beta.0 As a temporary workaround, consider verifying the `chainId` value before deriving any critical data from it.