Christian Bundy

**Nome do software vulnerável e versões afetadas** SSB-DB versão 20.0.0 SSB-Server versão 16.0.0 **Descrição** O problema é uma vulnerabilidade de divulgação de informações. O método `get()` deveria descriptografar mensagens apenas quando solicitado explicitamente, mas há um bug que faz com que ele descriptografe qualquer mensagem que seja possível. Isso significa que ele retorna o conteúdo descriptografado de mensagens privadas, o que um par mal-intencionado poderia usar para obter acesso a dados privados. Isso afeta apenas pares que executam o SSB-DB@20.0.0 e que também possuem mensagens privadas, e só é conhecido como explorável se você também estiver executando o SSB-OOO, que expõe um thin wrapper em torno de `get()` para pares anônimos. **Recomendações** Para a versão 20.0.0 do SSB-DB, atualize para a versão 20.0.1 imediatamente. Para a versão 16.0.0 do SSB-Server, atualize para a versão 16.0.1 para obter a versão corrigida do SSB-DB. Como solução temporária, considere desativar o plugin SSB-OOO para desativar o vetor de ataque mais óbvio.

**Nome do software vulnerável e versões afetadas** Versões do Oasis anteriores à 2.15.0 **Descrição** O problema diz respeito a uma possível vulnerabilidade de rebinding de DNS ou CSRF. Se um invasor conseguir induzir um usuário a visitar um site malicioso, ele poderá usar ataques de rebinding de DNS e CSRF para ler ou gravar dados em aplicativos vulneráveis. Não há evidências que sugiram que isso tenha sido explorado na prática. **Recomendações** Para versões do Oasis anteriores à 2.15.0, atualize para a versão 2.15.0 para resolver o problema. Como solução temporária, considere evitar visitas a sites potencialmente maliciosos para minimizar o risco de exploração.