Apyatko

**Nome do Software Vulnerável e Versões Afetadas** Versões do Nuxt anteriores à 3.19.0 Versões do Nuxt anteriores à 4.1.0 **Descrição** Existe uma vulnerabilidade de path traversal no lado do cliente no mecanismo de reativação de payload das Islands do Nuxt. Isso permite que atacantes manipulem requisições no lado do cliente para diferentes endpoints dentro do mesmo domínio da aplicação quando condições específicas de pré-renderização são atendidas. A vulnerabilidade ocorre no processo de reativação de payload no lado do cliente, onde as Nuxt Islands são automaticamente requisitadas ao encontrar objetos ` nuxt island` serializados. Durante a pré-renderização, se um endpoint de API retornar dados controlados pelo usuário contendo um objeto ` nuxt island` forjado, os dados são serializados e armazenados na página pré-renderizada. Quando um cliente navega para a página pré-renderizada, o payload é desserializado e o reativador da Island tenta requisitar `/ nuxt island/${key}.json`, onde `key` pode conter sequências de path traversal. A vulnerabilidade requer páginas pré-renderizadas, respostas de API controladas pelo atacante e navegação no lado do cliente. **Recomendações** Atualize para a versão 3.19.0 ou posterior do Nuxt. Atualize para a versão 4.1.0 ou posterior do Nuxt.

Nome do Software Vulnerável e Versões Afetadas: Versões do Svelte devalue anteriores à 5.3.2 Descrição: Svelte devalue é uma biblioteca de utilidades suscetível à poluição de protótipo. Passar uma string para `devalue.parse` que representa um objeto com uma propriedade ` proto `, sem verificação de índice numérico, pode levar à atribuição de protótipo a objetos e propriedades. Recomendações: Atualize para a versão 5.3.2 ou posterior.