Devanshbatham

**Name of the Vulnerable Software and Affected Versions** Harden-Runner versions 2.15.1 and below **Description** Harden-Runner, a CI/CD security agent functioning as an EDR for GitHub Actions runners, contains a DNS over HTTPS (DoH) issue. This allows attackers to circumvent network restrictions imposed by the `egress-policy: block` setting by tunneling exfiltrated data through permitted HTTPS endpoints, such as `dns.google`. The attack involves encoding sensitive data, like the runner's hostname, as subdomains within DoH queries. These queries appear as legitimate HTTPS traffic to Harden-Runner’s domain-based filtering but are ultimately forwarded to a domain controlled by the attacker, enabling data exfiltration without directly connecting to blocked destinations. Exploitation requires pre-existing code execution within the GitHub Actions workflow. The Enterprise Tier of Harden-Runner is not affected. **Recommendations** Upgrade to Harden-Runner version 2.16.0 or later.

**Name of the Vulnerable Software and Affected Versions** Harden-Runner versions 2.15.1 and below **Description** Harden-Runner, a CI/CD security agent functioning as an EDR for GitHub Actions runners, has an issue where the `egress-policy: block` network restriction can be bypassed using DNS queries over TCP. When `egress-policy: block` is enabled with a restrictive `allowed-endpoints` list, non-compliant traffic should be denied. However, DNS queries over TCP are not adequately restricted, allowing tools like `dig` to initiate TCP-based DNS queries without being blocked. This requires an attacker to already have code execution capabilities within the GitHub Actions workflow. The Enterprise Tier of Harden-Runner is not affected. **Recommendations** Upgrade to Harden-Runner version 2.16.0 or later.

**Nome do Software Vulnerável e Versões Afetadas** Versões do Parse Server anteriores a 8.6.10 Versões do Parse Server anteriores a 9.5.0-alpha.11 **Descrição** O Parse Server é um backend de código aberto implantável em infraestruturas Node.js. Os adaptadores de autenticação do Google, Apple e Facebook utilizam verificação JWT para validar tokens de identidade. Quando a opção de configuração de audiência do adaptador não está definida (clientId para Google/Apple, appIds para Facebook), a verificação JWT ignora a validação da claim de audiência. Isso permite que um atacante use um JWT validamente assinado emitido para um aplicativo diferente para se autenticar como qualquer usuário no Parse Server alvo. O problema afeta o processo de autenticação ao usar os adaptadores de autenticação do Google, Apple e Facebook. O componente vulnerável depende da verificação JWT (JSON Web Token) para validação de identidade. **Recomendações** Atualize o Parse Server para a versão 8.6.10 ou posterior. Atualize o Parse Server para a versão 9.5.0-alpha.11 ou posterior.

**Nome do Software Vulnerável e Versões Afetadas** Versões do Parse Server anteriores a 8.6.5 Versões do Parse Server anteriores a 9.5.0-alpha.3 **Descrição** A `readOnlyMasterKey` pode ser usada incorretamente para criar e excluir arquivos por meio da Files API. Especificamente, os endpoints da API `/files/:filename` (métodos POST e DELETE) são afetados. Isso contorna a restrição de somente leitura pretendida associada à `readOnlyMasterKey`, permitindo manipulação não autorizada de arquivos. Um invasor que possua a `readOnlyMasterKey` pode fazer o upload de arquivos arbitrários ou excluir os existentes. Qualquer implantação do Parse Server que utilize a `readOnlyMasterKey` e exponha a Files API está suscetível a esse problema. **Recomendações** Versões anteriores a 8.6.5 devem ser atualizadas para a versão 8.6.5 ou posterior. Versões anteriores a 9.5.0-alpha.3 devem ser atualizadas para a versão 9.5.0-alpha.3 ou posterior. Como alternativa, restrinja o acesso de rede aos endpoints da API `/files/:filename`. Alternativamente, evite usar a `readOnlyMasterKey`.

**Nome do Software Vulnerável e Versões Afetadas** Versões do Parse Server anteriores a 8.6.6 Versões do Parse Server anteriores a 9.5.0-alpha.4 **Descrição** O Parse Server é um backend open-source que pode ser implantado em infraestruturas Node.js. Uma chave mestra somente leitura pode ser usada para chamar o endpoint da API `POST /loginAs`, permitindo a criação de um token de sessão válido para qualquer usuário. Isso permite que uma credencial somente leitura se passe por qualquer usuário, obtendo acesso total de leitura e escrita aos seus dados. Qualquer implantação do Parse Server que utilize o `readOnlyMasterKey` pode ser afetada. A correção envolve adicionar uma verificação ao handler `/logInAs`. **Recomendações** As versões anteriores a 8.6.6 devem ser atualizadas para a versão 8.6.6 ou superior. As versões anteriores a 9.5.0-alpha.4 devem ser atualizadas para a versão 9.5.0-alpha.4 ou superior. Como alternativa, evite utilizar o `readOnlyMasterKey`.

**Nome do Software Vulnerável e Versões Afetadas** Versões do Parse Server anteriores a 8.6.4 Versões do Parse Server anteriores a 9.4.1-alpha.3 **Descrição** Implantações do Parse Server que utilizam a opção `readOnlyMasterKey` estão suscetíveis a modificações não autorizadas. A `readOnlyMasterKey` destina-se a conceder acesso somente leitura, mas certos endpoints incorretamente permitem operações de mutação ao usar esta chave. Isso permite que um atacante que possui a `readOnlyMasterKey` crie, modifique e exclua Cloud Hooks e inicie Cloud Jobs, potencialmente levando à exfiltração de dados. Os endpoints vulneráveis processam incorretamente a `readOnlyMasterKey` para operações que deveriam ser restritas. A variável `readOnlyMasterKey` é usada indevidamente nas verificações de autorização. **Recomendações** Versões do Parse Server anteriores a 8.6.4 devem ser atualizadas para a versão 8.6.4 ou posterior. Versões do Parse Server anteriores a 9.4.1-alpha.3 devem ser atualizadas para a versão 9.4.1-alpha.3 ou posterior. Se a atualização não for possível imediatamente, certifique-se de que o valor da `readOnlyMasterKey` não seja compartilhado com partes não confiáveis.

**Nome do Software Vulnerável e Versões Afetadas** Versões do Harden-Runner anteriores à 2.14.2 **Descrição** O Harden-Runner é um agente de segurança CI/CD projetado para funcionar como um EDR para executores do GitHub Actions. Um problema de segurança foi identificado no Tier Community do Harden-Runner que permite que conexões de rede de saída contornem o registro de auditoria. Especificamente, o tráfego de saída que utiliza as chamadas de sistema de soquete `sendto`, `sendmsg` e `sendmmsg` pode evadir detecção e registro quando a `egress-policy` está definida como 'audit'. Este contorno requer que o atacante já possua capacidades de execução de código dentro do fluxo de trabalho do GitHub Actions. O problema não afeta o Tier Enterprise. A vulnerabilidade decorre da cobertura incompleta de monitoramento de certas chamadas de sistema relacionadas a soquetes, permitindo que os atacantes estabeleçam canais de comunicação ocultos usando tráfego UDP sem gerar eventos de auditoria. **Recomendações** Atualize para a versão 2.14.2 ou posterior do Harden-Runner.

Nome do Software Vulnerável e Versões Afetadas Versões do Hono anteriores a 4.11.7 Descrição O Middleware de Restrição de IP no Hono não valida corretamente os endereços IPv4, permitindo que atacantes contornem os controles de acesso baseados em IP. O padrão `IPV4 REGEX` e a função `convertIPv4ToBinary` em `src/utils/ipaddr.ts` não garantem que os valores dos octetos IPv4 estejam dentro do intervalo válido de 0-255. Isso permite a criação de endereços IP malformados que contornam as restrições pretendidas. Recomendações Atualize para a versão 4.11.7 ou posterior.

**Nome do Software Vulnerável e Versões Afetadas** Versões do Hono anteriores a 4.11.4 **Descrição** O Hono é um framework de aplicação web que suporta vários runtimes JavaScript. Existe uma vulnerabilidade no middleware de verificação JWT ao utilizar JWK/JWKS, na qual o valor `alg` no cabeçalho JWT poderia influenciar a verificação da assinatura mesmo que o JWK selecionado não definisse explicitamente um algoritmo. Isso poderia levar à confusão de algoritmo JWT, potencialmente permitindo que tokens falsificados sejam aceitos. A correção envolve exigir que a opção `alg` seja especificada explicitamente no middleware JWT, impedindo o uso de valores não confiáveis do cabeçalho JWT para determinar o algoritmo de verificação. **Recomendações** Atualize para a versão 4.11.4 do Hono ou posterior.

**Nome do Software Vulnerável e Versões Afetadas** Versões do Hono anteriores a 4.11.4 **Descrição** O Hono é um framework de aplicação web que suporta vários runtimes JavaScript. Existe uma falha no middleware de verificação JWT JWK/JWKS em que o algoritmo especificado no cabeçalho JWT poderia influenciar a verificação da assinatura quando o JWK selecionado não definia explicitamente um algoritmo. Isso poderia levar à confusão de algoritmo JWT, permitindo potencialmente que tokens forjados fossem aceitos. O middleware foi atualizado para exigir uma lista de permissão explícita de algoritmos assimétricos para verificação de token, impedindo a derivação do algoritmo de verificação a partir de valores não confiáveis do cabeçalho JWT. **Recomendações** Atualize para a versão 4.11.4 do Hono ou posterior.