Arkark

**Nome do Software Vulnerável e Versões Afetadas:** pdfme versões 5.2.0 até 5.4.0 **Descrição:** A funcionalidade de avaliação de expressões no pdfme contém vulnerabilidades críticas que permitem escape de sandbox, levando a ataques de Cross-Site Scripting (XSS) e poluição de protótipo. Atacantes podem contornar as restrições da sandbox para executar código JavaScript arbitrário usando métodos como `Object.getOwnPropertyDescriptor` e `Object.getPrototypeOf`. O avaliador de expressões também permite acesso a métodos acessores de protótipo (` lookupGetter `, ` lookupSetter `, ` defineGetter `, ` defineSetter `) que podem ser explorados com `Object.assign` para poluir a cadeia de protótipos. Essas vulnerabilidades podem permitir que atacantes executem código JavaScript arbitrário, roubem informações sensíveis, modifiquem o comportamento da aplicação e potencialmente realizem ações em nome dos usuários. **Recomendações:** Versões do pdfme anteriores à 5.4.1 são afetadas. Atualize para a versão 5.4.1 do pdfme para resolver este problema.

**Nome do Software Vulnerável e Versões Afetadas** Versões do Radashi anteriores à 12.5.1 **Descrição** O Radashi é um kit de ferramentas utilitárias TypeScript. A função `set` dentro da biblioteca Radashi é vulnerável à poluição de protótipo. Se um atacante conseguir controlar partes do argumento de caminho da função `set`, ele poderá potencialmente modificar o protótipo de todos os objetos no runtime JavaScript, resultando em comportamento inesperado, negação de serviço ou até mesmo execução remota de código em alguns cenários específicos. **Recomendações** Para versões anteriores à 12.5.1, atualize para a versão 12.5.1 ou posterior para resolver o problema. Como medida temporária, considere sanitizar o argumento de caminho fornecido à função `set` para garantir que nenhuma parte da string de caminho seja ` proto `, `prototype` ou `constructor`.

Nome do Software Vulnerável e Versões Afetadas: Versões do zx anteriores a 8.3.2 Descrição: Um atacante com controle sobre os valores das variáveis de ambiente pode injetar variáveis de ambiente não intencionais em `process.env`. Isso pode levar à execução arbitrária de comandos ou a comportamento inesperado em aplicações que dependem de variáveis de ambiente para operações sensíveis à segurança. Aplicações que processam entrada não confiável e a passam por `dotenv.stringify` são particularmente vulneráveis. Recomendações: Para versões anteriores a 8.3.2, atualize para a versão 8.3.2 para mitigar a vulnerabilidade. Se a atualização não for viável, faça a sanitização dos valores das variáveis de ambiente controlados pelo usuário antes de passá-los para `dotenv.stringify`. Especificamente, evite usar `, `, e backticks nos valores, ou imponha validação estrita das variáveis de ambiente antes do uso.

**Nome do software vulnerável e versões afetadas** Versões do Svelte anteriores à 4.2.19 **Descrição** Existe uma vulnerabilidade mXSS potencial no Svelte devido a um escape HTML inadequado na renderização do lado do servidor. O problema surge quando a árvore DOM final renderizada nos navegadores difere do que o Svelte espera, permitindo ataques XSS. Isso pode ocorrer ao injetar conteúdo malicioso em um atributo dentro de uma tag `noscript`. O número estimado de dispositivos potencialmente afetados não foi especificado. **Recomendações** Para versões anteriores à 4.2.19, atualize para a versão 4.2.19 para resolver o problema. Como solução temporária, considere restringir o uso de atributos dentro de tags `noscript` para minimizar o risco de exploração. Evite usar valores inseridos pelo usuário para o atributo `href` no endpoint da API afetado até que o problema seja resolvido.

**Nome do software vulnerável e versões afetadas** Versões do Qwik anteriores à 1.6.0 Versões do @builder.io/qwik anteriores à 1.7.3 **Descrição** Existe uma vulnerabilidade potencial de XSS por mutação no Qwik devido a um escape HTML inadequado na renderização do lado do servidor. Isso ocorre porque o Qwik converte strings de acordo com regras específicas, o que pode fazer com que a árvore DOM final renderizada nos navegadores difira do que o Qwik espera na renderização do lado do servidor. Essa discrepância pode ser aproveitada para realizar ataques XSS, especificamente um tipo conhecido como mXSS (XSS por mutação). O problema decorre das regras de conversão encontradas no arquivo `render-ssr.ts`, onde valores de atributos e outros caracteres são convertidos de maneira diferente, o que pode levar a vulnerabilidades de segurança. **Recomendações** Para versões do Qwik anteriores à 1.6.0, atualize para a versão 1.6.0 ou posterior para resolver o problema. Para versões do @builder.io/qwik anteriores à 1.7.3, atualize para a versão 1.7.3 ou posterior para resolver o problema. Como solução temporária, considere restringir a entrada do usuário no parâmetro `href` para minimizar o risco de exploração. Evite usar o parâmetro `href` no componente afetado até que o problema seja resolvido.

**Nome do software vulnerável e versões afetadas** Versões do aiohttp anteriores à 3.9.4 **Descrição** Existe uma vulnerabilidade XSS nas páginas de índice para o tratamento de arquivos estáticos. Esse problema surge ao usar `web.static(..., show index=True)`, pois as páginas de índice resultantes não escapam nomes de arquivos, tornando o servidor vulnerável a ataques XSS se os usuários puderem enviar arquivos com nomes arbitrários para o diretório estático. Os usuários que seguirem a recomendação de usar um servidor proxy reverso, como o nginx, para servir arquivos estáticos não são afetados. **Recomendações** Para versões anteriores à 3.9.4, atualize para a versão 3.9.4 ou posterior para resolver o problema. Como solução alternativa temporária, considere desativar o parâmetro `show index` caso não seja possível atualizar.

**Name of the Vulnerable Software and Affected Versions** AWS SDK for PHP versions prior to 3.288.1 **Description** A URI path traversal issue exists in the AWS SDK for PHP, specifically within the scope of requests to S3 object keys and/or prefixes containing a Unix double-dot. This issue is possible due to the `buildEndpoint` method in the RestSerializer component relying on the Guzzle Psr7 UriResolver utility, which strips dot segments from the request path in accordance with RFC 3986. Under certain conditions, this could lead to an arbitrary object being accessed. **Recommendations** Upgrade to the AWS SDK for PHP version 3.288.1 or later, if you are on a version prior to 3.288.1. As a temporary workaround, consider restricting access to S3 object keys and/or prefixes containing a Unix double-dot until the issue is resolved. Additionally, be cautious when using the `buildEndpoint` method in the RestSerializer component to minimize the risk of exploitation.

**Name of the Vulnerable Software and Affected Versions** vm2 versions 3.9.17 and lower **Description** The issue allows a threat actor to get a read-write reference to the node `inspect` method and edit options for `console.log`, resulting in the ability to edit options for the `console.log` command. This was possible due to a flaw in vm2, a sandbox that can run untrusted code with Node's built-in modules. **Recommendations** For versions 3.9.17 and lower, upgrade to version 3.9.18 or higher. As a temporary workaround for users unable to upgrade, make the `inspect` method readonly with `vm.readonly(inspect)` after creating a vm.

**Name of the Vulnerable Software and Affected Versions** vm2 versions up to and including 3.9.17 **Description** A sandbox escape issue exists in vm2, allowing a threat actor to bypass sandbox protections and gain remote code execution rights on the host. This is achieved by abusing an unexpected creation of a host object based on the specification of `Proxy`. The vulnerability can be exploited by a remote attacker to execute arbitrary code. **Recommendations** For versions up to and including 3.9.17, upgrade to version 3.9.18 or later to patch the vulnerability. As a temporary workaround, consider restricting access to the `Proxy` specification until a patch is applied. There are no known workarounds for this vulnerability. Users are advised to upgrade to a patched version to mitigate the risk.