Athuljayaram

**Nome do Software Vulnerável e Versões Afetadas** Roadiz versões anteriores a 2.3.43 Roadiz versões anteriores a 2.5.45 Roadiz versões anteriores a 2.6.31 Roadiz versões anteriores a 2.7.18 **Description** O pacote `roadiz/openid` falha ao implementar adequadamente o processo de validação de nonce do OIDC. Embora a função `OAuth2LinkGenerator::generate()` crie um nonce e o inclua na solicitação de autorização enviada ao provedor de identidade, o valor não é armazenado nem validado durante o callback. Especificamente, a cadeia de validação do `OpenIdJwtConfigurationFactory` carece de uma restrição de nonce, e a função `OpenIdAuthenticator::authenticate()` não verifica a reivindicação de nonce no token ID retornado em relação a um valor armazenado. Isso permite ataques de replay de token ID, onde tokens interceptados são reutilizados para autenticação, e ataques de injeção de token, onde um provedor de identidade comprometido pode injetar tokens entre sessões. **Recommendations** Atualizar para a versão 2.3.43. Atualizar para a versão 2.5.45. Atualizar para a versão 2.6.31. Atualizar para a versão 2.7.18.

Nome do Software Vulnerável e Versões Afetadas Ewe versões anteriores a 3.0.6 Descrição A função `encode headers` em `src/ewe/internal/encoder.gleam` interpola diretamente chaves e valores de cabeçalhos de resposta em bytes HTTP brutos sem validar ou remover sequências CRLF (`r `). Isso permite que um invasor injete conteúdo de resposta HTTP arbitrário quando dados controlados pelo usuário são passados para os cabeçalhos de resposta, potencialmente levando a divisão de resposta, envenenamento de cache e scripting entre sites. O problema decorre da falta de validação para cabeçalhos de resposta de saída, enquanto os cabeçalhos de solicitação de entrada são validados por meio de `validate field value()` no analisador HTTP/1.1. O código vulnerável está localizado na função `encode headers`, onde tanto `key` quanto `value` são inseridos diretamente na saída `BitArray` sem higienização. Um exemplo de exploração envolve definir um cabeçalho de redirecionamento `Location` de um parâmetro de solicitação contendo sequências CRLF. Recomendações Atualize para a versão 3.0.6 ou posterior.

Nome do Software Vulnerável e Versões Afetadas phpMyFAQ versões anteriores a 4.1.1 Descrição pMyFAQ é um aplicativo web de perguntas frequentes (FAQ) de código aberto. O método `searchCustomPages()` em `phpmyfaq/src/phpMyFAQ/Search.php` usa `real escape string()` para higienizar os termos de pesquisa antes de incorporá-los em cláusulas LIKE. No entanto, `real escape string()` não escapa os metacaracteres SQL LIKE `%` (corresponde a qualquer sequência) e ` ` (corresponde a qualquer caractere único). Um invasor não autenticado pode injetar esses curingas em consultas de pesquisa, fazendo com que correspondam a registros não intencionais, resultando em divulgação de informações. O código vulnerável está localizado em `phpmyfaq/src/phpMyFAQ/Search.php`, linhas 226–240. O vetor de ataque envolve a submissão de um termo de pesquisa contendo ` ` ou `%` como parte de uma palavra com 3 ou mais caracteres, ignorando um filtro de comprimento. Por exemplo, uma pesquisa por ` % ` pode corresponder a todas as páginas personalizadas. Isso permite que um invasor recupere o conteúdo da página personalizada que não apareceria em pesquisas normais. Recomendações Atualize o phpMyFAQ para a versão 4.1.1 ou posterior.

**Name of the Vulnerable Software and Affected Versions** AVideo versions up to and including 26.0 **Description** The `fixCleanTitle()` static method in `objects/category.php` constructs a SQL SELECT query by directly interpolating the `$clean title` and `$id` variables into the query string without using prepared statements or parameterized queries. An attacker who can trigger category creation or renaming with a crafted title value can inject arbitrary SQL. The vulnerable code is located in the `fixCleanTitle()` function. The `$clean title` variable, derived from user input, and the `$id` variable are directly embedded into the SQL string without proper escaping or parameterization. An attacker can exploit this by providing a malicious title, such as `test' UNION SELECT username,password,3,4,5,6,7,8,9,10 FROM users-- -`, to exfiltrate credentials and other sensitive data from the `users` table. The API endpoint used for category creation or renaming is susceptible to this SQL injection. **Recommendations** Versions up to and including 26.0 should be updated to a version containing commit 994cc2b3d802b819e07e6088338e8bf4e484aae4, which includes a patch to address this issue. Replace direct interpolation with parameterized queries, using `?` placeholders and passing the `$clean title` and `(int)$id` as bound parameters.

**Name of the Vulnerable Software and Affected Versions** AVideo versions up to and including 26.0 **Description** AVideo is susceptible to a SQL injection issue in the `objects/like.php` file. The `getLike()` method uses a prepared statement placeholder for `users id` but directly concatenates `$this->videos id` into the SQL query string without proper parameterization. An attacker controlling the `videos id` value through a crafted request can inject arbitrary SQL code, bypassing the intended protection. The vulnerable code constructs a query like this: `SELECT * FROM likes WHERE users id = ? AND videos id = `.`$this->videos id` LIMIT 1;`. The `videos id` parameter originates from user input and is not validated before being included in the query. A proof-of-concept demonstrates that an attacker can submit a like request with a malicious `videos id` value, such as `1 UNION SELECT user,password,3,4,5,6,7,8 FROM users-- -`, to execute an arbitrary SQL query and potentially read the entire database, including user credentials and other sensitive information. The API endpoint `/objects/likeAjax.json.php` is used to submit like requests, and the vulnerable parameter is `videos id`. **Recommendations** AVideo versions up to and including 26.0 should be updated to a version containing commit 0215d3c4f1ee748b8880254967b51784b8ac4080. As a temporary workaround, consider disabling the like/dislike functionality or restricting access to the `objects/like.php` file until a patch is applied.

**Name of the Vulnerable Software and Affected Versions** AVideo versions up to and including 26.0 **Description** AVideo allows content owners to password-protect individual videos. The video password is stored in the database in plaintext, without hashing, salting, or encryption. An attacker gaining read access to the database—through methods like SQL injection, database backups, or misconfigured access controls—can obtain all video passwords in cleartext. The vulnerable setter is located in `objects/video.php` and is defined as: `public function setVideo password($video password)`. The vulnerable getter is also located in `objects/video.php` and is defined as: `public function getVideo password()`. The comparison of the entered password with the stored plaintext password occurs directly, using the following logic: `if ($video->getVideo password() === $ POST['password'])`. This poses a credential harvesting risk, as users often reuse passwords across multiple services. **Recommendations** Versions up to and including 26.0: Hash video passwords on write using `password hash($video password, PASSWORD BCRYPT)` and verify on read using `password verify($ POST['password'], $stored hash)`.

**Name of the Vulnerable Software and Affected Versions** msgpack (affected versions not specified) **Description** The msgpack decoder does not correctly validate the input buffer length when processing truncated fixext data (format codes 0xd4-0xd8). This can result in an out-of-bounds read and a runtime panic, potentially leading to a denial of service attack. **Recommendations** At the moment, there is no information about a newer version that contains a fix for this vulnerability.

**Name of the Vulnerable Software and Affected Versions** pgproto3 (affected versions not specified) **Description** A flaw exists in pgproto3 where a malicious or compromised PostgreSQL server can send a DataRow message containing a negative field length. This input validation issue can cause a denial of service (DoS) due to a slice bounds out of range panic. **Recommendations** At the moment, there is no information about a newer version that contains a fix for this vulnerability.

**Name of the Vulnerable Software and Affected Versions** github.com/antchfx/xpath (affected versions not specified) **Description** A flaw exists in the `github.com/antchfx/xpath` component that allows a remote attacker to cause a Denial of Service (DoS) condition. This is achieved by submitting crafted Boolean XPath expressions that evaluate to true, triggering an infinite loop within the `logicalQuery.Select` function. This results in 100% CPU utilization, impacting the affected system. **Recommendations** At the moment, there is no information about a newer version that contains a fix for this vulnerability.