Aveek Biswas

**Nome do software vulnerável e versões afetadas** Versões do node-tar anteriores à 3.3.2, 4.4.14, 5.0.6 e 6.1.1 **Descrição** A vulnerabilidade está relacionada ao módulo node-tar, utilizado para lidar com arquivos tar no Node.js, que apresenta um problema de filtragem incorreta da sequência de caracteres ‘/’. Isso poderia permitir que um invasor remoto comprometesse a integridade dos dados e causasse uma negação de serviço. O pacote npm “tar” (também conhecido como node-tar) apresenta uma vulnerabilidade de criação/sobrescrita arbitrária de arquivos devido à sanitização insuficiente de caminhos absolutos. O `node-tar` visa impedir a extração de caminhos absolutos de arquivos, convertendo-os em caminhos relativos quando o sinalizador `preservePaths` não está definido como `true`. No entanto, essa lógica era insuficiente quando os caminhos dos arquivos continham raízes de caminho repetidas. **Recomendações** Para versões anteriores a 3.3.2, 4.4.14, 5.0.6 e 6.1.1, atualize para as respectivas versões corrigidas (3.3.2, 4.4.14, 5.0.6 ou 6.1.1) para resolver o problema. Como solução alternativa temporária, considere criar um método `onentry` personalizado que sanitize o `entry.path` ou um método `filter` que remova entradas com caminhos absolutos.

**Nome do software vulnerável e versões afetadas** ssri, versões 5.2.2 a 8.0.0 **Descrição** O problema está relacionado ao processamento de SRIs por meio de uma expressão regular, que é vulnerável a um ataque de negação de serviço. SRIs maliciosos podem levar um tempo extremamente longo para serem processados, levando à negação de serviço. Esse problema afeta apenas usuários que utilizam a opção “strict”. **Recomendações** Para as versões 5.2.2 a 8.0.0, atualize para a versão 8.0.1 para resolver o problema. Como solução alternativa temporária, considere desativar a opção “strict” até que um patch esteja disponível. Restrinja o uso de SRIs para minimizar o risco de exploração.