Bingyu Li

**Nome do software vulnerável e versões afetadas** Gorush versão 1.18.4 **Descrição** Uma falha na função `RunHTTPServer` permite que invasores interceptem e manipulem dados devido ao uso de uma versão TLS obsoleta. **Recomendações** Para a versão 1.18.4 do Gorush, considere atualizar para uma versão que utilize uma versão TLS não obsoleta, a fim de evitar a interceptação e manipulação de dados. Como solução temporária, considere restringir o acesso à função `RunHTTPServer` até que um patch esteja disponível.

**Nome do software vulnerável e versões afetadas** goframe versão 2.7.2 **Descrição** A vulnerabilidade permite que invasores executem um ataque man-in-the-middle, pois o software está configurado para ignorar a verificação do certificado TLS por meio do componente gclient. **Recomendações** Para a versão 2.7.2 do goframe, considere habilitar a verificação do certificado TLS para prevenir ataques man-in-the-middle. Como solução temporária, restrinja o acesso ao componente gclient até que uma correção esteja disponível.

**Nome do software vulnerável e versões afetadas** litestream versão 0.3.13 **Descrição** Foi detectada uma falha em que o uso da função `ssh.InsecureIgnoreHostKey()` desativa a verificação da chave do host. Isso poderia permitir que invasores obtivessem informações confidenciais por meio de um ataque man-in-the-middle. **Recomendações** Para a versão 0.3.13 do litestream, considere desativar o uso de `ssh.InsecureIgnoreHostKey()` para reativar a verificação da chave do host até que um patch esteja disponível. Restrinja o acesso a informações confidenciais para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** filestash versão 0.4 **Descrição** O problema está relacionado à função ShareProofVerifier no filestash, que ignora o processo de verificação do certificado TLS ao enviar códigos de verificação por e-mail. Isso poderia permitir que invasores acessassem dados confidenciais por meio de um ataque man-in-the-middle. **Recomendações** Para o filestash versão 0.4, considere desativar a função ShareProofVerifier até que uma correção esteja disponível para impor a verificação do certificado TLS. Restrinja o acesso a dados confidenciais para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** filestash versão 0.4 **Descrição** Foi detectada uma falha em que o uso da função ssh.InsecureIgnoreHostKey() desativa a verificação da chave do host. Isso poderia permitir que invasores obtivessem informações confidenciais por meio de um ataque man-in-the-middle. **Recomendações** Para a versão 0.4 do filestash, considere desativar o uso de ssh.InsecureIgnoreHostKey() para reativar a verificação da chave do host até que um patch esteja disponível. Restrinja o acesso a informações confidenciais para minimizar o risco de exploração.