Eric-D

**Nome do Software Vulnerável e Versões Afetadas** Kilo-Org kilocode versões anteriores a 7.0.48 **Descrição** Uma falha no componente Environment Variable Handler permite a divulgação remota de informações. O problema existe na função `Load()` localizada no arquivo `packages/opencode/src/config/config.ts`. Um invasor pode disparar isso manipulando o argumento `KILO CONFIG CONTENT`. **Recomendações** Atualize para uma versão posterior a 7.0.47. Como medida paliativa temporária, restrinja ou monitore o uso do argumento `KILO CONFIG CONTENT` para minimizar o risco de divulgação de informações.

**Nome do Software Vulnerável e Versões Afetadas** Kilo-Org kilocode versões anteriores a 7.0.48 **Descrição** Um problema de path traversal existe no File Diff API Endpoint, especificamente na função `Bun.file` do arquivo `packages/opencode/src/kilocode/review/worktree-diff.ts`. Um invasor remoto pode disparar isso ao manipular o argumento `File`. **Recomendações** Atualize para uma versão posterior a 7.0.47. Como medida paliativa temporária, restrinja o acesso à função `Bun.file` no File Diff API Endpoint para minimizar o risco de exploração.

**Nome do Software Vulnerável e Versões Afetadas** vercel ai versões anteriores a 3.0.98 **Descrição** Um problema de injeção de comando de SO existe no componente PR Branch Name Interpolation. A falha está localizada na função `run()` do arquivo `.github/workflows/prettier-on-automerge.yml`. Isso permite que um invasor remoto execute comandos arbitrários do sistema operacional, embora a complexidade do ataque seja alta e a explorabilidade seja considerada difícil. **Recomendações** Atualize para uma versão posterior a 3.0.97. Como medida paliativa temporária, restrinja o acesso ou desative a função `run()` no arquivo `.github/workflows/prettier-on-automerge.yml`.

A vulnerability was detected in inkeep agents 0.58.14. This vulnerability affects the function createDevContext of the file agents-api/src/middleware/runAuth.ts of the component runAuth Middleware. Performing a manipulation results in authentication bypass using alternate channel. The attack is possible to be carried out remotely. The exploit is now public and may be used. The project was informed of the problem early through an issue report but has not responded yet.

**Name of the Vulnerable Software and Affected Versions** langflow-ai langflow versões anteriores a 1.1.1 **Description** Uma falha de upload de arquivo irrestrito existe no componente API Endpoint. O problema está localizado na função `create upload file()` no arquivo 'src/backend/base/Langflow/api/v1/endpoints.py'. Isso permite que um invasor remoto realize o upload de arquivos sem restrições adequadas. Mais de 2.900 instâncias expostas à internet foram identificadas como potencialmente vulneráveis. **Recommendations** Atualize para uma versão posterior a 1.1.0. Como medida paliativa temporária, restrinja o acesso à função `create upload file()` até que uma correção seja aplicada.

**Name of the Vulnerable Software and Affected Versions** langflow-ai langflow versões anteriores a 1.8.4 **Description** Uma fraqueza no componente Flow Using API permite o armazenamento desprotegido de credenciais. Este problema ocorre na função `remove api keys/has api terms` localizada no arquivo 'src/backend/base/langflow/api/utils/core.py'. A falha pode ser acionada remotamente. **Recommendations** Atualize para uma versão posterior a 1.8.3. Como medida paliativa temporária, restrinja o acesso à função `remove api keys/has api terms` para minimizar o risco de exposição de credenciais.

**Name of the Vulnerable Software and Affected Versions** FoundationAgents MetaGPT versões até 0.8.1 **Description** Uma falha de segurança foi descoberta no FoundationAgents MetaGPT versões até 0.8.1. A função `decode image` dentro do arquivo `metagpt/utils/common.py` é suscetível a falsificação de solicitação do lado do servidor (SSRF) através da manipulação do argumento `img url or b64`. Isso permite ataques remotos. O exploit está publicamente disponível. O projeto foi notificado sobre o problema, mas ainda não respondeu. **Recommendations** Atualize o FoundationAgents MetaGPT para uma versão mais recente que 0.8.1.

Name of the Vulnerable Software and Affected Versions FoundationAgents MetaGPT versões até 0.8.1 Description Um problema de injeção de código existe no FoundationAgents MetaGPT até a versão 0.8.1. O problema está localizado na função `generate thoughts` dentro do arquivo `metagpt/strategy/tot.py` do componente Tree-of-Thought Solver. Atacantes remotos podem explorar essa falha. O exploit está publicamente disponível. Recommendations Atualize para uma versão superior a 0.8.1.

Name of the Vulnerable Software and Affected Versions FoundationAgents MetaGPT versões até 0.8.1 Description Um problema de falsificação de solicitação entre sites (cross-site request forgery) existe no FoundationAgents MetaGPT até a versão 0.8.1. A questão está localizada na função `evaluateCode` do arquivo `metagpt/environment/minecraft/mineflayer/index.js` dentro do componente Mineflayer HTTP API. O ataque pode ser realizado remotamente e foi divulgado publicamente. Recommendations Atualize o FoundationAgents MetaGPT para uma versão posterior a 0.8.1.

Name of the Vulnerable Software and Affected Versions FoundationAgents MetaGPT versões até 0.8.1 Description Uma falha foi determinada no FoundationAgents MetaGPT até a versão 0.8.1 devido a um problema de injeção de comando OS dentro da função `Bash.run` localizada na biblioteca `metagpt/tools/libs/terminal.py`. Esta falha é explorável remotamente. Recommendations Atualize o FoundationAgents MetaGPT para uma versão posterior a 0.8.1.

Name of the Vulnerable Software and Affected Versions FoundationAgents MetaGPT versões até 0.8.1 Description Uma falha existe na função `get mime type` dentro do arquivo `metagpt/utils/common.py`. Isso permite a injeção de comandos do sistema operacional, potencialmente permitindo a execução remota de comandos. Os detalhes do problema foram divulgados publicamente. Recommendations Atualize para uma versão superior a 0.8.1