Dolevmiz1

**Name of the Vulnerable Software and Affected Versions** Axios versões anteriores a 0.31.1 Axios versões anteriores a 1.15.1 **Description** Existe um problema onde o software lê chaves do Object.prototype sem uma guarda hasOwnProperty. Se uma co-dependência poluir o Object.prototype, um invasor pode interceptar e modificar silenciosamente cada resposta JSON antes que a aplicação a processe, ou sequestrar totalmente o transporte HTTP subjacente para obter acesso a credenciais de solicitação, cabeçalhos e ao corpo. Isso requer a poluição de protótipo de uma fonte separada no mesmo processo. **Recommendations** Atualizar para a versão 0.31.1 Atualizar para a versão 1.15.1

**Name of the Vulnerable Software and Affected Versions** lodash versions prior to 4.18.0 **Description** The software contains a flaw related to template compilation. Specifically, insufficient validation of key names within the `options.imports` object used by the ` .template` function can allow an attacker to inject default-parameter expressions, leading to arbitrary code execution. The issue arises because validation applied to the `option` variable is not extended to the `options.imports` key names. Furthermore, the use of `assignInWith` can introduce vulnerabilities if `Object.prototype` has been compromised, potentially copying polluted keys into the imports object and ultimately executing malicious code. **Recommendations** Upgrade to version 4.18.0. Do not pass untrusted input as key names in `options.imports`. Only use developer-controlled, static key names.

**Nome do Software Vulnerável e Versões Afetadas** versões do minimatch anteriores a 3.1.3 versões do minimatch de 3.1.3 até 4.2.5 versões do minimatch de 4.2.5 até 5.1.8 versões do minimatch de 5.1.8 até 6.2.2 versões do minimatch de 6.2.2 até 7.4.8 versões do minimatch de 7.4.8 até 8.0.6 versões do minimatch de 8.0.6 até 9.0.7 versões do minimatch de 9.0.7 até 10.2.3 **Descrição** O software `minimatch` contém uma falha onde a função `matchOne()` pode sofrer backtracking recursivo ilimitado ao processar padrões glob com múltiplos segmentos `**` (GLOBSTAR) não adjacentes, particularmente quando o caminho de entrada não corresponde ao padrão. Isso pode levar a uma complexidade de tempo de O(C(n, k)), onde `n` representa o número de segmentos de caminho e `k` é o número de globstars. Este problema pode fazer com que o event loop do Node.js trave por períodos prolongados, potencialmente dezenas de segundos, com um tamanho de padrão de aproximadamente 56 bytes. Aplicativos vulneráveis a este problema incluem ferramentas de build, executores de tarefas, sistemas multi-tenant, interfaces de administração e pipelines de CI/CD que aceitam argumentos glob fornecidos pelo usuário. Um atacante que possa controlar o padrão glob passado para `minimatch()` pode explorar esta falha. **Recomendações** Atualize para a versão do minimatch 3.1.3 ou posterior. Atualize para a versão do minimatch 4.2.5 ou posterior. Atualize para a versão do minimatch 5.1.8 ou posterior. Atualize para a versão do minimatch 6.2.2 ou posterior. Atualize para a versão do minimatch 7.4.8 ou posterior. Atualize para a versão do minimatch 8.0.6 ou posterior. Atualize para a versão do minimatch 9.0.7 ou posterior. Atualize para a versão do minimatch 10.2.3 ou posterior.

**Nome do Software Vulnerável e Versões Afetadas** versões do minimatch anteriores a 10.2.3 versões do minimatch anteriores a 9.0.7 versões do minimatch anteriores a 8.0.6 versões do minimatch anteriores a 7.4.8 versões do minimatch anteriores a 6.2.2 versões do minimatch anteriores a 5.1.8 versões do minimatch anteriores a 4.2.5 versões do minimatch anteriores a 3.1.4 **Descrição** O software está suscetível a backtracking catastrófico ao processar determinadas expressões glob contendo extglobs `*()` ou `+()` aninhados. Especificamente, expressões regulares geradas a partir desses padrões podem levar a um backtracking excessivo no V8, causando problemas significativos de desempenho, incluindo travamentos que duram vários segundos ou até minutos. Um padrão de 12 bytes como `*(*(*(a|b)))` com uma entrada de 18 bytes que não corresponde pode acionar esse comportamento. O problema ocorre com a API padrão `minimatch()` sem exigir opções especiais. **Recomendações** Atualize para a versão 10.2.3 ou posterior do minimatch. Atualize para a versão 9.0.7 ou posterior do minimatch. Atualize para a versão 8.0.6 ou posterior do minimatch. Atualize para a versão 7.4.8 ou posterior do minimatch. Atualize para a versão 6.2.2 ou posterior do minimatch. Atualize para a versão 5.1.8 ou posterior do minimatch. Atualize para a versão 4.2.5 ou posterior do minimatch. Atualize para a versão 3.1.4 ou posterior do minimatch.