Cpansec

**Nome do Software Vulnerável e Versões Afetadas** Gazelle versões anteriores a 0.50 **Descrição** A precedência inadequada de cabeçalhos permite o contrabando de requisições HTTP (HTTP Request Smuggling). O software prioriza incorretamente o cabeçalho `Content-Length` em relação ao `Transfer-Encoding: chunked` quando ambos estão presentes em uma requisição HTTP, violando a RFC 7230 3.3.3. Isso permite que um invasor envie requisições HTTP maliciosas através de um proxy reverso de front-end. **Recomendações** Atualize para uma versão posterior a 0.49.

**Nome do Software Vulnerável e Versões Afetadas** Starlet versões anteriores a 0.32 **Description** O Starlet para Perl permite o contrabando de requisições HTTP (HTTP Request Smuggling) devido à precedência inadequada de cabeçalhos. O software prioriza incorretamente o cabeçalho `Content-Length` em relação ao `Transfer-Encoding: chunked` quando ambos estão presentes em uma requisição HTTP, o que contraria a RFC 7230 3.3.3. Esse comportamento permite que um invasor envie requisições HTTP maliciosas através de um proxy reverso de front-end. **Recommendations** Atualize para a versão 0.32 ou posterior.

**Nome do Software Vulnerável e Versões Afetadas** Plack::Middleware::XSendfile versões anteriores a 1.0053 **Descrição** O Plack::Middleware::XSendfile permite que a configuração de variação (tipo de sendfile) seja controlada pelo cliente através do cabeçalho `X-Sendfile-Type`, caso não esteja definida no construtor do middleware ou no ambiente Plack. Um cliente mal-intencionado pode definir o cabeçalho `X-Sendfile-Type` como "X-Accel-Redirect" para serviços operando atrás de proxies reversos nginx e, em seguida, utilizar o cabeçalho `X-Accel-Mapping` para mapear o caminho para um arquivo arbitrário no servidor, permitindo a reescrita de caminho controlada pelo cliente. **Recomendações** Atualize para uma versão posterior a 1.0053, visto que o Plack::Middleware::XSendfile está depreciado desde a versão 1.0053 e será removido de versões futuras do Plack.

**Nome do Software Vulnerável e Versões Afetadas** Starman versões anteriores a 0.4018 **Description** A precedência inadequada de cabeçalhos permite o contrabando de requisições HTTP (HTTP Request Smuggling). O software prioriza incorretamente o cabeçalho `Content-Length` em relação ao `Transfer-Encoding: chunked` quando ambos estão presentes em uma requisição HTTP, o que contraria a RFC 7230 3.3.3. Isso pode ser explorado para contrabandear requisições HTTP maliciosas através de um proxy reverso de front-end. **Recommendations** Atualize para a versão 0.4018 ou posterior.

**Nome do Software Vulnerável e Versões Afetadas** Text::Minify::XS versões 0.3.0 até 0.7.7 **Descrição** Ocorre um estouro de heap (heap overflow) ao processar certos caracteres UTF-8 malformados. A função `minify()` e seu alias `minify utf8()` manipulam incorretamente esses caracteres, levando à corrupção do heap. **Recomendações** Atualize para a versão 0.7.8 ou posterior.