Elnimo-00

**Nome do Software Vulnerável e Versões Afetadas** pygeoapi versões 0.23.0 a 0.23.2 **Descrição** Um problema de concatenação de string de caminho bruto no plugin STAC FileSystemProvider permite que solicitações a coleções baseadas em coleções STAC exponham diretórios sem autenticação. Isso ocorre quando o servidor é implantado sem um proxy ou front-end web para normalizar URLs que contenham valores `..` e possui um recurso do tipo `stac-collection` definido na configuração. **Recomendações** Atualize para a versão 0.23.3. Como alternativa temporária, desative os recursos baseados em coleções STAC na configuração.

**Nome do Software Vulnerável e Versões Afetadas** pygeoapi versões 0.23.0 a 0.23.2 **Descrição** As solicitações de execução de processo da API OGC podem utilizar o objeto `subscriber` para fazer solicitações a serviços HTTP internos. Isso permite a interação não autorizada com recursos de rede internos. **Recomendações** Atualize para a versão 0.23.3. Como solução temporária, desative os recursos baseados em processos na configuração do pygeoapi.