Ciffelia

**Nome do Software Vulnerável e Versões Afetadas** Versões do Cilium 1.14.0 até 1.14.7 Versões do Cilium 1.15.0 até 1.15.11 Versões do Cilium 1.16.0 até 1.16.4 **Descrição** O Cilium é uma solução de rede, observabilidade e segurança com um plano de dados baseado em eBPF. Um valor padrão inseguro no cabeçalho `Access-Control-Allow-Origin` pode levar à exposição de dados sensíveis para usuários que implantam o Hubble UI usando a CLI do Cilium ou via o chart Helm do Cilium. Um usuário com acesso a uma instância do Hubble UI afetada por este problema pode vazar detalhes de configuração sobre o cluster Kubernetes que o Hubble UI está monitorando, incluindo nomes dos nós, endereços IP e outros metadados sobre cargas de trabalho e a configuração de rede do cluster. Para que este problema seja explorado, uma vítima precisaria primeiro visitar uma página maliciosa. **Recomendações** Para as versões 1.14.0 até 1.14.7, atualize para a versão 1.14.18 ou posterior. Para as versões 1.15.0 até 1.15.11, atualize para a versão 1.15.12 ou posterior. Para as versões 1.16.0 até 1.16.4, atualize para a versão 1.16.5 ou posterior. Como solução alternativa temporária, usuários que implantam o Hubble UI usando o chart Helm do Cilium diretamente podem remover os cabeçalhos CORS do template Helm.

**Nome do software vulnerável e versões afetadas** Versões do nano-id anteriores à 0.4.0 **Descrição** As versões afetadas do crate nano-id geravam IDs incorretamente, utilizando um conjunto reduzido de caracteres nas funções `nano id::base62` e `nano id::base58`. Especificamente, a função `base62` utilizava um conjunto de caracteres de 32 símbolos em vez dos 62 símbolos pretendidos, e a função `base58` utilizava um conjunto de caracteres de 16 símbolos em vez dos 58 símbolos pretendidos. Além disso, a macro `nano id::gen` também é afetada quando é especificado um conjunto de caracteres personalizado cujo tamanho não seja uma potência de 2. Deve-se observar que `nano id::base64` não é afetada por essa vulnerabilidade. Isso pode resultar em uma redução significativa na entropia, tornando os IDs gerados previsíveis e vulneráveis a ataques de força bruta quando os IDs são usados em contextos sensíveis à segurança, como tokens de sessão ou identificadores únicos. **Recomendações** Para resolver o problema, atualize para a versão 0.4.0 ou posterior, pois a vulnerabilidade foi corrigida nesta versão. Como solução temporária, considere evitar o uso das funções `nano id::base62` e `nano id::base58` até que um patch esteja disponível. Restrinja o acesso a contextos sensíveis à segurança onde os IDs gerados são usados para minimizar o risco de exploração.