Astaruf

**Nome do Software Vulnerável e Versões Afetadas** Sherlock versões anteriores a 0.16.1 **Description** O fluxo de trabalho do GitHub Actions 'validate modified targets.yml' está suscetível a injeção de comando através do gatilho `pull request target`. Isso permite que qualquer usuário do GitHub execute comandos arbitrários no executor de CI e exfiltre o `GITHUB TOKEN` ao abrir um pull request, sem a necessidade de aprovação, revisão ou mesclagem. **Recommendations** Atualize para a versão 0.16.1.

**Nome do Software Vulnerável e Versões Afetadas** BentoPDF versões anteriores a 2.8.3 **Descrição** BentoPDF é um kit de ferramentas de PDF do lado do cliente auto-hospedável. Um problema de cross-site scripting existe na ferramenta Markdown to PDF, o que permite que um invasor execute JavaScript arbitrário em certas circunstâncias. **Recomendações** Atualizar para a versão 2.8.3.

**Nome do Software Vulnerável e Versões Afetadas** MagicMirror² versões anteriores a 2.36.0 **Description** Existe uma vulnerabilidade de Server-Side Request Forgery (SSRF) não autenticada no endpoint '/cors', que atua como um proxy HTTP aberto sem autenticação ou validação de URL. Isso permite que atacantes remotos forcem o servidor a realizar requisições HTTP arbitrárias para serviços de localhost, serviços de metadados de nuvem e redes internas. O problema está localizado na função `cors()` dentro de `js/server functions.js`. Além disso, a função `replaceSecretPlaceholder()` expande placeholders de variáveis de ambiente usando o padrão `**VAR NAME**`, o que permite a exfiltração de segredos do lado do servidor, como chaves de API, tokens e credenciais de banco de dados do `process.env`. **Recommendations** Atualize o MagicMirror² para a versão 2.36.0. Como medida paliativa temporária, restrinja o acesso ao endpoint '/cors' para minimizar o risco de exploração.