Crnkovic

**Nome do Software Vulnerável e Versões Afetadas** versões do file-type anteriores à 21.3.1 **Descrição** Existe uma vulnerabilidade de negação de serviço no parser de detecção de tipo de arquivo ASF (WMV/WMA) no file-type. Ao processar uma entrada especialmente elaborada na qual um sub-cabeçalho ASF possui um campo de tamanho zero, o parser fica preso em um loop infinito. O valor do payload torna-se negativo (-24), fazendo com que `tokenizer.ignore(payload)` mova a posição de leitura para trás, lendo repetidamente o mesmo sub-cabeçalho. Aplicações que utilizam o file-type para detectar o tipo de entrada não confiável estão suscetíveis. Um atacante pode interromper o event loop do Node.js com um payload de 55 bytes. **Recomendações** Atualize para a versão 21.3.1 ou posterior.

**Nome do Software Vulnerável e Versões Afetadas** WSO2 API Manager versões 2.0.0 e anteriores **Descrição** Existe uma vulnerabilidade de Entidade Externa XML (XXE) no componente de gateway do WSO2 API Manager devido à validação insuficiente de entrada XML em caminhos de URL manipulados. O XML fornecido pelo usuário é processado sem as restrições apropriadas, permitindo a resolução de entidades externas. Um atacante remoto e não autenticado pode explorar essa vulnerabilidade para ler arquivos do sistema de arquivos do servidor ou realizar ataques de negação de serviço (DoS). Em sistemas executando JDK 7 ou versões iniciais do JDK 8, o conteúdo completo dos arquivos pode ser exposto. Em versões posteriores do JDK 8 e mais recentes, apenas a primeira linha de um arquivo pode ser lida devido a melhorias no comportamento do analisador XML. Ataques DoS, como cargas úteis "Billion Laughs", podem causar interrupção do serviço. **Recomendações** Aplique o patch WSO2-2016-0151 às versões 2.0.0 e anteriores.