Bcaller

**Nome do software vulnerável e versões afetadas: Versões do Engine.IO anteriores à 4.0.0 Descrição: A vulnerabilidade permite que invasores provoquem uma negação de serviço por meio de uma solicitação POST ao protocolo de transporte de long polling, resultando no consumo de recursos. Isso pode ser feito enviando uma solicitação POST ao endpoint `“/longpolling”`, embora o endpoint exato não seja explicitamente mencionado nas descrições fornecidas. Recomendações: Para versões anteriores à 4.0.0, atualize para a versão 4.0.0 ou posterior para resolver o problema. Como solução alternativa temporária, considere restringir o acesso ao transporte de long polling para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas: Versões do socket.io-parser anteriores à 3.4.1 Descrição: A vulnerabilidade permite que invasores provoquem uma negação de serviço devido ao consumo de memória por meio de um pacote de grandes dimensões, uma vez que é utilizada uma abordagem de concatenação. Recomendações: Para versões anteriores à 3.4.1, atualize para a versão 3.4.1 ou posterior para resolver o problema.

**Nome do software vulnerável e versões afetadas** Versões do uap-core anteriores à 0.7.3 **Descrição** A vulnerabilidade permite que invasores remotos sobrecarreguem um servidor definindo o cabeçalho User-Agent em uma solicitação HTTP(S) com strings longas criadas de forma maliciosa. Isso ocorre porque algumas expressões regulares são vulneráveis à negação de serviço por expressão regular (REDoS) devido à sobreposição de grupos de captura. Cada expressão regular vulnerável contém três grupos de captura sobrepostos, e o backtracking tem complexidade de tempo aproximadamente cúbica em relação ao comprimento da string do user-agent. **Recomendações** Atualize o uap-core para a versão 0.7.3 ou posterior para resolver o problema. Como solução temporária, considere restringir o comprimento do cabeçalho User-Agent em solicitações HTTP(S) para impedir a exploração. Além disso, desativar ou restringir o uso das expressões regulares vulneráveis pode ajudar a minimizar o risco de exploração até que um patch seja aplicado.