Davidgilmore

**Nome do Software Vulnerável e Versões Afetadas** HKUDS AI-Trader versões anteriores a 91a31aac1b0f4dbc6b8bef9f6eff0b7912e0bc65 **Description** Um problema no componente Research Export permite que atacantes remotos realizem uma manipulação que resulta na divulgação de informações. Isso afeta o endpoint '/api/research/agents.csv'. **Recommendations** Aplicar o patch 91a31aac1b0f4dbc6b8bef9f6eff0b7912e0bc65. Restringir o acesso ao endpoint '/api/research/agents.csv' apenas para agentes autenticados com a capacidade `research exports`.

**Nome do Software Vulnerável e Versões Afetadas** OpenClaw versões anteriores a 2026.2.12 **Descrição** Um problema de autenticação inadequada existe no componente bluebubbles Webhook, especificamente na função `handleBlueBubblesWebhookRequest()` do arquivo `extensions/bluebubbles/src/monitor.ts`. Esta falha permite que um invasor remoto realize uma manipulação que ignora a autenticação. **Recomendações** Atualize para a versão 2026.2.12. Como medida paliativa temporária, restrinja o acesso à função `handleBlueBubblesWebhookRequest()` até que a atualização seja aplicada.

**Nome do Software Vulnerável e Versões Afetadas** AstrBotDevs AstrBot versões anteriores a 4.16.1 **Descrição** O componente Dashboard contém credenciais codificadas rigidamente (hard-coded) no arquivo `astrbot/dashboard/routes/auth.py`. Esta falha permite que um invasor remoto obtenha acesso não autorizado ao sistema. **Recomendações** Atualize para uma versão posterior a 4.16.0. Restrinja o acesso às rotas de autenticação do arquivo `astrbot/dashboard/routes/auth.py` para minimizar o risco de acesso não autorizado.

A vulnerability was detected in p2r3 convert up to 6998584ace3e11db66dff0b423612a5cf91de75b. Affected is the function Bun.serve of the file buildCache.js of the component API. Performing a manipulation of the argument pathname results in path traversal. It is possible to initiate the attack remotely. The exploit is now public and may be used. This product is using a rolling release to provide continious delivery. Therefore, no version details for affected nor updated releases are available. The vendor was contacted early about this disclosure but did not respond in any way.

**Name of the Vulnerable Software and Affected Versions** usememos memos versões anteriores a 0.22.2 **Description** Ocorre uma autorização inadequada no componente UpdateInstanceSetting dentro do arquivo src/App.tsx. Especificamente, a manipulação dos argumentos `additionalStyle` ou `additionalScript` na função `memos access token()` permite ataques remotos. **Recommendations** Atualize para uma versão posterior a 0.22.1. Como medida paliativa temporária, restrinja o acesso à função `memos access token()` ou evite usar os argumentos `additionalStyle` e `additionalScript` até que uma correção seja aplicada.

**Name of the Vulnerable Software and Affected Versions** rowboat versões anteriores a 0.1.68 **Description** Ocorre uma autenticação inadequada no componente tools webhook, especificamente na função `tool call()` do arquivo 'apps/experimental/tools webhook/app.py'. Um invasor remoto pode manipular o argumento `X-Tools-JWE` para burlar os mecanismos de autenticação. **Recommendations** Atualize para uma versão posterior a 0.1.67. Como medida paliativa temporária, restrinja o acesso à função `tool call()` ou ao arquivo 'apps/experimental/tools webhook/app.py' para minimizar o risco de exploração.

Name of the Vulnerable Software and Affected Versions danielmiessler Personal AI Infrastructure versões anteriores a 2.3.1 Description Uma falha foi determinada no danielmiessler Personal AI Infrastructure até a versão 2.3.0. A questão reside em uma função desconhecida dentro do arquivo Skills/Parser/Tools/parse url.ts e permite a injeção de comandos do sistema operacional por meio de manipulação. Isso pode ser acionado remotamente. A exploração foi divulgada publicamente. Recommendations Atualize para a versão 2.3.1 ou posterior.