Eric-F

**Nome do Software Vulnerável e Versões Afetadas** vercel ai versões anteriores a 3.0.98 **Descrição** Um problema de server-side request forgery (SSRF) existe no componente `provider-utils`. A falha está localizada na função `validateDownloadUrl()` dentro do arquivo `packages/provider-utils/src/download-blob.ts`, permitindo que um invasor remoto manipule requisições. **Recomendações** Atualize para a versão 3.0.98 ou posterior. Como medida paliativa temporária, restrinja o acesso à função `validateDownloadUrl()` até que a atualização seja aplicada.

**Nome do Software Vulnerável e Versões Afetadas** vercel ai versões anteriores a 3.0.98 **Descrição** Um problema de consumo de recursos existe no componente `provider-utils`. A falha está localizada nas funções `createJsonResponseHandler()` e `createJsonErrorResponseHandler()` no arquivo `packages/provider-utils/src/response-handler.ts`. Isso permite que um invasor remoto cause o consumo excessivo de recursos. **Recomendações** Atualize para a versão 3.0.98 ou posterior. Como medida paliativa temporária, restrinja o acesso às funções `createJsonResponseHandler()` e `createJsonErrorResponseHandler()` até que a atualização seja aplicada.

**Name of the Vulnerable Software and Affected Versions** langflow-ai langflow versões anteriores a 1.8.4 **Description** Uma falha na Renderização de Componentes React do Frontend, especificamente no arquivo 'src/frontend/src/modals/IOModal/components/chatView/chatMessage/components/edit-message.tsx', permite a execução remota de cross site scripting. Cross site scripting é uma brecha de segurança onde scripts maliciosos são injetados em sites confiáveis. **Recommendations** Atualize para uma versão posterior a 1.8.3.

**Name of the Vulnerable Software and Affected Versions** modelscope agentscope versões anteriores a 1.0.19 **Description** Uma falha de injeção de código existe que permite que atacantes remotos executem código arbitrário. O problema está localizado nas funções `execute python code()` e `execute shell command()` dentro do arquivo 'src/AgentScope/tool/ coding/ python.py'. **Recommendations** Atualize para uma versão posterior a 1.0.18. Como medida paliativa temporária, considere desativar as funções `execute python code()` e `execute shell command()` até que uma correção seja aplicada.

**Name of the Vulnerable Software and Affected Versions** modelscope agentscope versões anteriores a 1.0.19 **Description** Um problema existe no componente Cloud Metadata Endpoint dentro do arquivo src/agentscope/tool/ multi modality/ openai tools.py. Especificamente, as funções ` parse url()`, `prepare image()` e `openai audio to text()` não manipulam adequadamente os argumentos `image url` e `audio file url`. Isso permite que um invasor remoto realize server-side request forgery, que é uma técnica onde um invasor induz uma aplicação no servidor a fazer requisições para um local não pretendido. **Recommendations** Atualize para uma versão posterior a 1.0.18. Como medida paliativa temporária, restrinja o acesso às funções ` parse url()`, `prepare image()` e `openai audio to text()` ou evite usar os argumentos `image url` e `audio file url` até que uma correção seja aplicada.

**Name of the Vulnerable Software and Affected Versions** langflow-ai langflow versões anteriores a 1.8.4 **Description** Um problema existe no Project Creation Endpoint onde a manipulação do argumento `auth settings` na função `encrypt auth settings()` dentro do arquivo 'src/backend/base/Langflow/api/v1/projects.py' leva ao armazenamento de informações sensíveis em texto claro em um arquivo ou disco. Esta falha pode ser explorada remotamente. **Recommendations** Atualize para uma versão posterior a 1.8.3. Como medida paliativa temporária, restrinja o acesso à função `encrypt auth settings()` até que uma correção seja aplicada.

**Name of the Vulnerable Software and Affected Versions** modelscope agentscope versões anteriores a 1.0.19 **Description** Uma falsificação de solicitação do lado do servidor (SSRF) existe na função ` process audio block()` dentro do arquivo src/agentscope/agent/ agent base.py. Este problema permite que um invasor remoto realize o ataque manipulando o argumento `url`. SSRF é uma falha que permite que um invasor induza a aplicação do lado do servidor a fazer solicitações para um local não pretendido. **Recommendations** Atualize para uma versão posterior a 1.0.18. Como medida paliativa temporária, restrinja o acesso à função ` process audio block()` para minimizar o risco de exploração.

**Name of the Vulnerable Software and Affected Versions** lm-sys fastchat versões anteriores a 0.2.37 **Description** Uma falha no Worker API Endpoint permite que atacantes remotos causem consumo de recursos através da manipulação da função `api generate()`. **Recommendations** Instale a correção fornecida no commit c9e84b89c91d45191dc24466888de526fa04cf33. Como medida paliativa temporária, restrinja o acesso à função `api generate()` para minimizar o risco de exaustão de recursos.

**Name of the Vulnerable Software and Affected Versions** lm-sys fastchat versões anteriores a 0.2.37 **Description** A Execução Remota de Código é possível no componente Arena Side-by-Side View Handler através da função `add text()`. A manipulação desta função resulta em um fluxo de controle incorreto, permitindo que um ataque seja lançado remotamente. **Recommendations** Atualize para a versão 0.2.37 ou posterior. Como medida paliativa temporária, restrinja o acesso à função `add text()` no Arena Side-by-Side View Handler.

**Name of the Vulnerable Software and Affected Versions** modelscope agentscope versões anteriores a 1.0.19 **Description** Uma falha no componente Internal Service permite a ocorrência de server-side request forgery, que é uma condição onde um invasor pode induzir o servidor a fazer requisições para um local não pretendido. Este problema ocorre na função ` get bytes from web url()` localizada no arquivo `src/agentscope/ utils/ common.py` e pode ser acionado remotamente por meio de manipulação. **Recommendations** Atualize para uma versão posterior a 1.0.18. Como medida paliativa temporária, considere restringir o uso da função ` get bytes from web url()` até que uma correção seja aplicada.

**Name of the Vulnerable Software and Affected Versions** langflow-ai langflow versões anteriores a 1.8.4 **Description** Um problema existe na API de Configuração do Model Context Protocol dentro das funções `get client ip`/`install mcp config` do arquivo src/backend/base/langflow/api/v1/mcp projects.py. Um invasor remoto pode realizar uma injeção manipulando o argumento `X-Forwarded-For`. **Recommendations** Atualize para a versão 1.8.4 ou posterior.