Denandz

Name of the Vulnerable Software and Affected Versions HDF5 versões 1.14.1-2 e anteriores Description HDF5 é um software para gerenciamento de dados. Uma falha de uso após liberação de memória (heap-use-after-free) foi identificada na ferramenta auxiliar h5dump. Um invasor pode acionar isso fornecendo um arquivo h5 malicioso. O problema ocorre porque um objeto liberado é referenciado em uma chamada memmove de `H5T conv struct`. O objeto foi alocado por `H5D typeinfo init phase3` e liberado por `H5D typeinfo term`. Recommendations Atualize para uma versão posterior a 1.14.1-2

**Nome do Software Vulnerável e Versões Afetadas** HDF5 versões anteriores a 1.14.4-2 **Descrição** O HDF5 é um software utilizado para gerenciar dados. Um atacante que controla um arquivo `h5` analisado pelo HDF5 pode acionar um estouro de buffer no heap baseado em escrita. Isso pode levar a uma condição de negação de serviço e, potencialmente, à execução remota de código, dependendo da possibilidade de exploração em sistemas operacionais modernos. A possibilidade de exploração da execução remota de código no mundo real é atualmente desconhecida. **Recomendações** Atualize para a versão 1.14.4-2 ou posterior.

**Nome do software vulnerável e versões afetadas** Versões do CodiMD anteriores à 2.5.4 **Descrição** O CodiMD carece de autenticação e controle de acesso, permitindo que um invasor não autenticado obtenha acesso não autorizado aos dados de imagens enviadas para o CodiMD. O problema surge porque o CodiMD não exige autenticação válida para acessar imagens enviadas ou para enviar novos dados de imagem. Um invasor capaz de determinar a URL de uma imagem enviada pode obter acesso não autorizado aos dados de imagem enviados. A geração insegura de nomes de arquivo aleatórios na biblioteca Formidable subjacente aumenta a probabilidade de exploração dessa vulnerabilidade, pois permite que um invasor determine os nomes de arquivo de imagens enviadas anteriormente. **Recomendações** Para versões anteriores à 2.5.4, atualize para a versão 2.5.4 para resolver o problema. Como solução alternativa temporária, considere restringir o acesso ao recurso de envio de imagens para minimizar o risco de exploração. Evite usar a funcionalidade vulnerável de envio de imagens até que o problema seja resolvido.

**Nome do software vulnerável e versões afetadas** Versões do Wiki.js anteriores à 2.4.107 **Descrição** O problema é causado por um mecanismo de validação inseguro que não insere corretamente as tags v-pre em elementos HTML renderizados que contêm chaves, levando a uma vulnerabilidade de script entre sites armazenado (XSS) por meio da injeção de modelos. Isso permite que um usuário mal-intencionado crie uma página wiki manipulada, orquestrando um ataque de cross-site scripting armazenado que executa JavaScript malicioso quando a página é visualizada por outros usuários. **Recomendações** Para versões anteriores à 2.4.107, atualize para a versão 2.4.107 para resolver o problema.