Drakkan

**Nome do Software Vulnerável e Versões Afetadas** O nome do produto não pôde ser determinado (versões afetadas não especificadas) **Descrição** Extensões de restrição, como `restrict-destination-v00@openssh.com`, não eram serializadas em requisições ao adicionar uma chave a um agente remoto. Isso fazia com que as restrições de destino fossem silenciosamente removidas durante o encaminhamento de chaves, permitindo o uso irrestrito da chave no host remoto. Além disso, o chaveiro em memória retornado pela função `NewKeyring()` ignorava silenciosamente chaves com extensões de restrição não suportadas. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** O nome do produto não pôde ser determinado (versões afetadas não especificadas) **Descrição** O chaveiro em memória retornado pela função `NewKeyring()` aceitava silenciosamente chaves com a restrição `ConfirmBeforeUse`, mas não a aplicava. Isso permitia que as chaves assinassem sem a solicitação de confirmação necessária, sem dar nenhuma indicação ao chamador de que a restrição não estava ativa. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Versões do SFTPGo anteriores à 2.3.5 **Descrição** O SFTPGo é um servidor SFTP escrito em Go. O SFTPGo WebClient está sujeito a vulnerabilidades de script entre sites (XSS), permitindo que invasores remotos injetem código malicioso. Esta falha foi corrigida na versão 2.3.5. Não há soluções alternativas conhecidas. **Recomendações** Para versões anteriores à 2.3.5, atualize para a versão 2.3.5 para resolver o problema. Como solução alternativa temporária, considere restringir o acesso ao SFTPGo WebClient até que a atualização seja aplicada.

**Nome do software vulnerável e versões afetadas** Versões 2.2.0 a 2.3.3 do SFTPGo **Descrição** O SFTPGo é um servidor SFTP configurável com suporte opcional a HTTP/S, FTP/S e WebDAV. Ele suporta o login usando TOTP (senhas de uso único baseadas em tempo) como fator de autenticação secundário e também suporta códigos de recuperação, que são um conjunto de códigos de uso único que podem ser utilizados em vez do TOTP. Um invasor que conheça a senha do usuário poderia potencialmente gerar alguns códigos de recuperação e, então, contornar a autenticação de dois fatores após ela ser ativada na conta posteriormente. Esse problema foi corrigido na versão 2.3.4, na qual os códigos de recuperação agora só podem ser gerados após a ativação da autenticação de dois fatores e são excluídos após a desativação. **Recomendações** Para as versões 2.2.0 a 2.3.3 do SFTPGo, atualize para a versão 2.3.4 para resolver o problema. Como solução alternativa temporária, considere regenerar os códigos de recuperação após ativar a autenticação de dois fatores.