Christian Mehlmauer

**Nome do software vulnerável e versões afetadas** Versões do Go anteriores à 1.17.12 Versões do Go anteriores à 1.18.4 **Descrição** O problema está relacionado à exposição indevida de endereços IP de clientes. Isso pode ocorrer ao chamar `httputil.ReverseProxy.ServeHTTP` com um objeto `Request. Header` contendo um valor nulo para o cabeçalho `X-Forwarded-For`. Como resultado, o `ReverseProxy` define o IP do cliente como o valor do cabeçalho `X-Forwarded-For`, contrariando sua documentação. **Recomendações** Para versões do Go anteriores à 1.17.12, atualize para o Go 1.17.12 ou posterior para resolver o problema. Para versões do Go anteriores à 1.18.4, atualize para o Go 1.18.4 ou posterior para resolver o problema. Como solução alternativa temporária, considere evitar o uso de um valor nulo para o cabeçalho `X-Forwarded-For` no mapa `Request.Header` ao chamar `httputil.ReverseProxy.ServeHTTP`.

**Nome do software vulnerável e versões afetadas: Software Cisco Expressway (versões afetadas não especificadas) Descrição: Uma vulnerabilidade no componente do servidor TURN (Traversal Using Relays around NAT) poderia permitir que um invasor remoto não autenticado contornasse os controles de segurança e enviasse tráfego de rede para destinos restritos. O problema se deve à validação inadequada de informações específicas de conexão pelo servidor TURN dentro do software afetado. Um invasor poderia explorar essa vulnerabilidade enviando tráfego de rede especialmente criado para o software afetado, o que poderia permitir que ele obtivesse acesso não autorizado à rede. Recomendações: No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.