Chalker

**Nome do Software Vulnerável e Versões Afetadas** undici versões 7.23.0 até 8.1.0 **Descrição** Ao usar o `Socks5ProxyAgent`, o software reutiliza um único pool de conexões entre diferentes origens sem verificar se a origem do pool corresponde à origem solicitada. Isso leva ao roteamento de solicitações cross-origin, onde todas as solicitações são despachadas através do pool conectado à primeira origem, independentemente do destino pretendido. Consequentemente, credenciais e dados de solicitação destinados a uma origem são enviados para outra, respostas de origens incorretas são confiadas e solicitações HTTPS podem ser silenciosamente rebaixadas para HTTP. **Recomendações** Para as versões 7.23.0 até 7.25.x, atualize para a versão 7.26.0. Para as versões 8.0.0 até 8.1.0, atualize para a versão 8.2.0. Use uma instância separada de `Socks5ProxyAgent` por origem. Evite usar o `Socks5ProxyAgent` com múltiplas origens.

**Nome do Software Vulnerável e Versões Afetadas** Apollo Server versões de 2.0.0 a 3.13.0 Apollo Server versões de 4.2.0 a 4.13.0 Apollo Server versões de 5.0.0 a 5.4.0 **Descrição** O Apollo Server, um servidor GraphQL, é suscetível a ataques de negação de serviço (DoS). Isso ocorre devido à configuração padrão da função `startStandaloneServer` do pacote `@apollo/server/standalone`. Especificamente, corpos de solicitação especialmente elaborados contendo codificações incomuns de conjuntos de caracteres podem desencadear o problema. O problema afeta apenas usuários que utilizam diretamente o `startStandaloneServer` e não afeta aqueles que integram o Apollo Server por meio de pacotes como `@as-integrations/express5` ou `@as-integrations/next`. **Recomendações** Versões de 2.0.0 a 3.13.0: No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade. Versões de 4.2.0 a 4.13.0: No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade. Versões de 5.0.0 a 5.4.0: No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** Versões do sha.js até a 2.4.11 **Descrição** Existe uma vulnerabilidade de validação inadequada de entrada no sha.js, permitindo a manipulação de dados de entrada. Esta falha pode levar a colisões de hash e, potencialmente, à extração de chave privada, ameaçando aplicações web. A vulnerabilidade decorre da falta de verificações de tipo de entrada, que permitem o uso de tipos de dados diferentes do esperado, resultando em comportamento indefinido, incluindo o retrocesso do estado do hash e o potencial de transformar hashes com tag em hashes sem tag. A exploração pode envolver a manipulação da propriedade de comprimento dos dados de entrada para gerar colisões ou causar condições de negação de serviço. **Recomendações** Atualize o sha.js para a versão 2.4.12 ou posterior.

### Nome do Software Vulnerável e Versões Afetadas: cipher-base versões até a 1.0.4 ### Descrição: Existe um problema de validação de entrada inadequada no cipher-base, permitindo a manipulação de dados de entrada. Isso ocorre devido à falta de verificações de tipo de entrada, o que pode levar a cálculos de valor inválidos, retrocesso do estado do hash (potencialmente transformando um hash com tag em um hash sem tag) e condições de negação de serviço ao processar entrada maliciosa serializável via JSON. Especificamente, manipular a propriedade `length` dentro dos dados de entrada pode causar comportamento inesperado no processo de hash. Isso pode potencialmente levar a colisões, valores de hash incorretos e, em alguns casos, até mesmo à extração de chave privada de bibliotecas criptográficas. ### Recomendações: Atualize o cipher-base para uma versão superior à 1.0.4.

Nome do Software Vulnerável e Versões Afetadas: pbkdf2 versões 3.0.10 a 3.1.2 Descrição: O problema está relacionado a uma vulnerabilidade de Validação Imprópria de Entrada no pbkdf2, permitindo Falsificação de Assinatura por Validação Imprópria. Esta vulnerabilidade está associada aos arquivos de código lib/to-buffer.js. A vulnerabilidade é causada pelo retorno silencioso de memória não inicializada ou preenchida com zeros previsível para algoritmos não normalizados ou não implementados suportados pelo Node.js. Recomendações: Para as versões 3.0.10 a 3.1.2, atualize para uma versão que corrija a vulnerabilidade de Validação Imprópria de Entrada para prevenir a Falsificação de Assinatura. Como solução temporária, considere restringir o uso de algoritmos não normalizados ou não implementados suportados pelo Node.js até que uma correção esteja disponível.

Nome do Software Vulnerável e Versões Afetadas: versões do pbkdf2 <=3.1.2 Descrição: O problema está relacionado a uma vulnerabilidade de Validação Imprópria de Entrada no pbkdf2, permitindo Falsificação de Assinatura por Validação Imprópria. Recomendações: Para versões <=3.1.2, atualize para uma versão superior a 3.1.2 para resolver o problema. Como solução temporária, considere restringir o uso da função `pbkdf2` para minimizar o risco de exploração.

Nome do software vulnerável e versões afetadas: Versões do pnpm anteriores à 9.15.0 Descrição: O gerenciador de pacotes pnpm parece lidar incorretamente com substituições e cache global. Isso pode levar a que substituições de um espaço de trabalho vazem para os metadados do npm salvos no cache global, afetando outros espaços de trabalho. As instalações, por padrão, não revalidam os dados, inclusive na primeira geração do arquivo de bloqueio. Isso contraria a expectativa de que `ignore-scripts` seja suficiente para impedir a execução imediata de código durante a instalação. A integridade do estado global é perdida por meio de operações que se esperaria que fossem seguras, permitindo a execução de código arbitrário posteriormente durante as instalações. Recomendações: Para versões anteriores à 9.15.0, atualize para a versão 9.15.0 para corrigir o problema. Como solução alternativa temporária, use diretórios de cache e armazenamento separados em cada espaço de trabalho.

**Nome do software vulnerável e versões afetadas** Versões do secp256k1-node anteriores à 5.0.1 Versões do secp256k1-node anteriores à 4.0.4 Versões do secp256k1-node anteriores à 3.8.1 **Descrição** A vulnerabilidade afeta a versão baseada em `elliptic` do secp256k1-node, na qual a função `loadCompressedPublicKey` não possui uma verificação para garantir que a chave pública esteja na curva. Isso permite que um invasor utilize chaves públicas em curvas de baixa cardinalidade para extrair informações suficientes para restaurar totalmente a chave privada a partir de apenas 11 sessões ECDH, com um custo muito baixo em termos de poder de computação. Outras operações em chaves públicas também são afetadas, incluindo `publicKeyVerify()` retornando incorretamente `true` nessas chaves inválidas, e `publicKeyTweakMul()` também retornando resultados previsíveis, permitindo restaurar o tweak. **Recomendações** Para versões anteriores à 5.0.1, atualize para a versão 5.0.1 ou posterior. Para versões anteriores à 4.0.4, atualize para a versão 4.0.4 ou posterior. Para versões anteriores à 3.8.1, atualize para a versão 3.8.1 ou posterior. Como solução temporária, considere desativar a função `loadCompressedPublicKey` até que um patch esteja disponível. Restrinja o acesso às funções `publicKeyVerify()` e `publicKeyTweakMul()` para minimizar o risco de exploração. Evite usar a função `publicKeyTweakMul()` com chaves públicas não confiáveis até que o problema seja resolvido.

**Nome do software vulnerável e versões afetadas** Versões do dns-packet anteriores à 5.2.2 **Descrição** O problema decorre da criação de buffers com allocUnsafe que nem sempre são preenchidos antes da formação de pacotes de rede. Isso pode levar à exposição da memória interna do aplicativo em uma rede não criptografada ao consultar nomes de domínio inválidos criados propositalmente. **Recomendações** Para versões anteriores à 5.2.2, atualize para a versão 5.2.2 ou posterior para resolver o problema.

**Nome do software vulnerável e versões afetadas: Versões do módulo `fs-path` anteriores à 0.0.25 Descrição: O problema diz respeito à injeção de comandos por meio de entradas fornecidas pelo usuário através de métodos específicos. Os métodos `copy`, `copySync`, `remove` e `removeSync` estão vulneráveis a esse tipo de ataque. Recomendações: Para versões anteriores à 0.0.25, atualize para a versão 0.0.25 ou posterior para resolver o problema. Como solução temporária, considere restringir o uso dos métodos `copy`, `copySync`, `remove` e `removeSync` até que um patch seja aplicado. Evite usar entradas fornecidas pelo usuário nesses métodos para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Versões do bl anteriores à 4.0.3 Versões do bl anteriores à 3.0.1 Versões do bl anteriores à 2.2.1 Versões do bl anteriores à 1.2.3 **Descrição** Existe uma vulnerabilidade de leitura excessiva de buffer que poderia permitir que um invasor forneça uma entrada de usuário que corrompa o estado da BufferList, expondo potencialmente memória não inicializada por meio de chamadas regulares ao slice(). Isso ocorre quando o argumento do consume() se torna negativo. **Recomendações** Para versões anteriores à 4.0.3, atualize para a versão 4.0.3 ou posterior para resolver o problema. Para versões anteriores à 3.0.1, atualize para a versão 3.0.1 ou posterior para resolver o problema. Para versões anteriores à 2.2.1, atualize para a versão 2.2.1 ou posterior para resolver o problema. Para versões anteriores à 1.2.3, atualize para a versão 1.2.3 ou posterior para resolver o problema.

**Name of the Vulnerable Software and Affected Versions** Node.js stringstream module versions less than 0.0.6 **Description** The issue arises from the allocation of uninitialized buffers when a number is passed in the input stream, leading to an out-of-bounds read. This occurs when using Node.js 4.x. **Recommendations** For versions less than 0.0.6, consider not installing or using this module if user input is being passed in to `stringstream` as a temporary workaround until a fix is available. At the moment, there is no information about a newer version that contains a fix for this vulnerability.

**Name of the Vulnerable Software and Affected Versions** Node.js versions prior to 10.9.0 **Description** The issue is related to an argument processing flaw in the `Buffer.alloc()` method. This method is intended to return initialized memory, but due to the flaw, it can return uninitialized memory. The third argument, `encoding`, can be misinterpreted as the `start` to a fill operation if passed as a number. This may lead to the return of uncleared memory blocks that may contain sensitive information, particularly when `Buffer.alloc()` arguments are derived from user input. **Recommendations** For Node.js versions prior to 10.9.0, update to version 10.9.0 or later to resolve the issue. As a temporary workaround, consider validating and sanitizing user input before passing it to the `Buffer.alloc()` method to minimize the risk of exploitation. Restrict access to sensitive information and avoid using the `encoding` argument as a number to prevent misinterpretation by the internal "fill" method.

**Name of the Vulnerable Software and Affected Versions** Node.js versions prior to 6.14.4 Node.js versions prior to 8.11.4 Node.js versions prior to 10.9.0 **Description** The issue arises when Node.js is used with UCS-2 encoding, which is recognized under the names `ucs2`, `ucs-2`, `utf16le`, and `utf-16le`. In this context, the `Buffer#write()` function can be exploited to write beyond the boundaries of a single buffer. Specifically, writes that initiate from the second-to-last position of a buffer lead to a miscalculation of the maximum length of the input bytes to be written. **Recommendations** For versions prior to 6.14.4, update to version 6.14.4 or later. For versions prior to 8.11.4, update to version 8.11.4 or later. For versions prior to 10.9.0, update to version 10.9.0 or later.

**Name of the Vulnerable Software and Affected Versions** whereis versions prior to 0.4.1 **Description** The issue arises from concatenating unsanitized user input in the `whereis` npm module, allowing an attacker to execute arbitrary commands. It is recommended to use the `which` npm module instead, as `whereis` is deprecated. **Recommendations** Update to version 0.4.1 or later. As a temporary workaround, consider avoiding the use of the `whereis` module with untrusted user input until a patch is applied or the module is updated.

**Name of the Vulnerable Software and Affected Versions** memjs versions <= 1.1.0 memjs versions prior to 1.2.2 **Description** The issue results in Denial of Service (DoS) and uninitialized memory usage due to the allocation and storage of buffers on typed input. The package fails to sanitize the `value` option passed to the Buffer constructor, allowing attackers to pass large values that exhaust system resources. **Recommendations** For memjs versions <= 1.1.0, upgrade to version 1.2.2 or later. For memjs versions prior to 1.2.2, upgrade to version 1.2.2 or later.

**Name of the Vulnerable Software and Affected Versions** protobufjs versions prior to 5.0.3 protobufjs versions prior to 6.8.6 **Description** The issue concerns a regular expression denial of service when parsing crafted invalid .proto files, potentially leading to ReDoS. **Recommendations** Update to version 5.0.3 or later. Update to version 6.8.6 or later.

**Name of the Vulnerable Software and Affected Versions** reduce-css-calc versions <=1.2.4 **Description** Arbitrary code execution is possible through crafted CSS, making cross-site scripting (XSS) possible on the client and arbitrary code injection possible on the server. This occurs because user input is passed to the `calc` function, and affected versions of `reduce-css-calc` pass input directly to `eval`. If user input is passed into the `calc` function, this may result in cross-site scripting on the browser or remote code execution on the server. **Recommendations** For versions <=1.2.4, update to version 1.2.5 or later. As a temporary workaround, consider restricting the use of the `calc` function to minimize the risk of exploitation. Avoid passing user input to the `calc` function until the issue is resolved.

**Name of the Vulnerable Software and Affected Versions** atob versions 2.0.3 and earlier **Description** The issue arises when the `atob` function allocates uninitialized Buffers upon receiving a number as input on Node.js versions 4.x and below. **Recommendations** Update to version 2.1.0 or later.

**Name of the Vulnerable Software and Affected Versions** Node.js versions (affected versions not specified) **Description** The HTTP parser in Node.js ignores spaces in the `Content-Length` header, allowing input such as `Content-Length: 1 2` to be interpreted as having a value of `12`. This does not align with the HTTP specification, which does not allow for spaces in the `Content-Length` value. The security risk of this flaw is considered to be very low, as it is difficult to craft an attack that makes use of this flaw in a way that could not already be achieved by supplying an incorrect value for `Content-Length`. However, vulnerabilities may exist in user-code that make incorrect assumptions about the potential accuracy of this value compared to the actual length of the data supplied. **Recommendations** For all affected versions, users crafting lower-level HTTP utilities are advised to re-check the length of any input supplied after parsing is complete. At the moment, there is no information about a newer version that contains a fix for this vulnerability.