Bx33661

**Nome do Software Vulnerável e Versões Afetadas** postcss versões anteriores a 7.1.2 **Description** Um problema existe no componente AST Serialization dentro da função `toString()` do arquivo `src/selectors/container.js`. Um invasor remoto pode realizar uma manipulação que leva a uma recursão descontrolada, potencialmente causando a negação de serviço. Este risco é aplicável principalmente a ambientes de servidor que processam CSS gerado por usuários. **Recommendations** Atualize para a versão 7.1.2 ou posterior. Como medida paliativa temporária, restrinja o processamento de CSS gerado por usuários através da função `toString()` no arquivo `src/selectors/container.js`.

**Nome do Software Vulnerável e Versões Afetadas** wireshark-mcp versões 1.1.5 e anteriores **Descrição** O wireshark-mcp expõe uma ferramenta `wireshark export objects` que aceita um parâmetro `dest dir` controlado por um invasor e o passa para a flag `--export-objects` do tshark sem restrições de caminho obrigatórias. Por padrão, o sandbox de caminho ` allowed dirs` é definido como `None`, permitindo que qualquer diretório no sistema de arquivos seja usado como destino de exportação. Este problema também afeta as operações `merge pcap files`, `editcap trim`, `editcap split`, `editcap time shift`, `editcap deduplicate` e `text2pcap import`. Um invasor poderia potencialmente usar a injeção de prompt em um payload pcap para manipular um modelo de IA a gravar arquivos em locais sensíveis, como `/home/user/.ssh/` ou `/etc/cron.d/`. **Recomendações** Para as versões 1.1.5 e anteriores, configure a variável de ambiente `WIRESHARK MCP ALLOWED DIRS` para um diretório seguro e restrito antes de iniciar o servidor para ativar o sandbox e bloquear gravações fora do caminho permitido.

**Nome do Software Vulnerável e Versões Afetadas:** Modern Bag versão 1.0 **Descrição:** Existe uma falha crítica em uma funcionalidade desconhecida do arquivo `/action.php`. A manipulação do argumento `proId` pode levar a uma injeção de SQL. Esta falha pode ser explorada remotamente. O exploit foi divulgado publicamente. **Recomendações:** Modern Bag versão 1.0: Sanitizar o argumento `proId` para prevenir injeção de SQL.