Dhiral2908

**Nome do Software Vulnerável e Versões Afetadas** PraisonAI versões anteriores a 4.6.37 **Descrição** A função auxiliar ` safe extractall()`, utilizada nos fluxos de pull, publish e unpack de receitas, não valida o `member.linkname` e não rejeita membros de symlink ou hardlink. Além disso, ela chama `tar.extractall(dest dir)` sem a opção `filter="data"`. Um invasor pode usar um pacote contendo um symlink que aponta para fora do diretório de destino, seguido por um arquivo regular que atravessa esse symlink, para gravar conteúdo arbitrário em um local escolhido no sistema de arquivos da vítima. **Recomendações** Atualizar para a versão 4.6.37.

**Name of the Vulnerable Software and Affected Versions** Versões do Tornado anteriores a 6.5.5 **Description** Anteriormente à versão 6.5.5, o Tornado é suscetível à injeção de atributos de cookie devido à validação insuficiente dos argumentos domain, path e samesite ao definir cookies usando `.RequestHandler.set cookie`. Isso pode permitir a injeção de caracteres criados nesses atributos. **Recommendations** Atualize para a versão 6.5.5 ou posterior do Tornado.

Name of the Vulnerable Software and Affected Versions AIOHTTP versões anteriores a 3.13.4 Description AIOHTTP é um framework assíncrono HTTP cliente/servidor para asyncio e Python. Um atacante controlando o parâmetro `reason` ao criar uma `Response` pode injetar cabeçalhos extras ou exploits similares. Isso pode permitir a manipulação da resposta para enviar dados não intencionais se dados não confiáveis forem usados no parâmetro `reason`. Recommendations Atualize para a versão 3.13.4 ou posterior.