Coolcoolnoworries

**Nome do software vulnerável e versões afetadas** Versões do SideQuest anteriores à 0.10.35 **Descrição** O aplicativo de desktop SideQuest utiliza links diretos com um protocolo personalizado (`sidequest://`) para acionar ações no aplicativo a partir de seu conteúdo web. Devido à sanitização inadequada das URLs dos links diretos antes da versão 0.10.35, é possível executar código remotamente com um único clique quando um dispositivo está conectado e o usuário clica em um link malicioso dentro do aplicativo. **Recomendações** Para versões anteriores à 0.10.35, atualize para a versão 0.10.35 ou posterior para resolver o problema, pois os links de protocolo personalizado dentro do aplicativo Electron agora estão sendo analisados e sanitizados corretamente nesta versão. Como solução alternativa temporária, considere evitar clicar em links de dentro do aplicativo até que a atualização seja aplicada.

**Nome do software vulnerável e versões afetadas** Versões do Electron anteriores à 21.0.0-beta.1 Versões do Electron anteriores à 20.0.1 Versões do Electron anteriores à 19.0.11 Versões do Electron anteriores à 18.3.7 **Descrição** A estrutura do Electron está vulnerável à exposição de informações confidenciais. Ao seguir um redirecionamento, o Electron atrasa a verificação de redirecionamento para URLs do tipo file:// a partir de outros esquemas. Se o destino do redirecionamento for uma URL SMB, como `file://some.website.com/`, o Windows pode se conectar a esse servidor e tentar a autenticação NTLM, o que pode incluir o envio de credenciais com hash. **Recomendações** Para versões anteriores à 21.0.0-beta.1, atualize para a versão 21.0.0-beta.1 ou posterior. Para versões anteriores à 20.0.1, atualize para a versão 20.0.1 ou posterior. Para versões anteriores à 19.0.11, atualize para a versão 19.0.11 ou posterior. Para versões anteriores à 18.3.7, atualize para a versão 18.3.7 ou posterior. Como solução alternativa temporária, impeça redirecionamentos para URLs `file://` no evento `WebContents.on(‘will-redirect’)` para todos os WebContents. Isso pode ser feito adicionando um ouvinte de evento ao evento `web-contents-created` e verificando a URL no evento `will-redirect`. Se a URL começar com `file://`, impeça o comportamento padrão.