Erik Krogh Kristensen

**Nome do software vulnerável e versões afetadas** insane versões 2.6.2 e anteriores **Descrição** O problema diz respeito a um sanitizador de HTML baseado em lista de permissões que contém uma ou mais expressões regulares vulneráveis a ataques de negação de serviço por expressões regulares (ReDoS). Não há patches conhecidos disponíveis até o momento da publicação. **Recomendações** Para as versões 2.6.2 e anteriores, no momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Versões do Useragent anteriores à versão corrigida (não há versão corrigida especificada) **Descrição** O problema diz respeito a uma vulnerabilidade de Negação de Serviço por Expressão Regular (ReDoS) no analisador de agente de usuário Useragent para Node.js. Essa vulnerabilidade afeta todas as versões até o momento da publicação. Não há informações disponíveis sobre o número estimado de dispositivos potencialmente afetados em todo o mundo ou sobre incidentes reais em que essa vulnerabilidade tenha sido explorada. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Versões do Validate.js anteriores à versão lançada após 30 de novembro de 2020 **Descrição** O problema diz respeito a um ataque de negação de serviço por expressões regulares (ReDoS) devido a expressões regulares vulneráveis no Validate.js. Até o momento da publicação, não se sabe se há patches disponíveis. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Validate.js versões 0.11.3 e anteriores Nope versões 0.11.3 e anteriores **Descrição** O problema diz respeito a uma negação de serviço por expressões regulares (ReDoS) devido a uma ou mais expressões regulares vulneráveis. **Recomendações** Para as versões 0.11.3 e anteriores do Validate.js: No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade. Para as versões 0.11.3 e anteriores do Nope: Atualize para a versão 0.12.1 para resolver o problema.

**Nome do software vulnerável e versões afetadas** Validate.js versões 0.13.1 e anteriores **Descrição** O Validate.js oferece uma maneira declarativa de validar objetos JavaScript. O problema diz respeito a uma ou mais expressões regulares que estão vulneráveis a um ataque de negação de serviço por expressões regulares (ReDoS). Não há patches conhecidos disponíveis até o momento da publicação. **Recomendações** Para as versões 0.13.1 e anteriores, no momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Todas as versões disponíveis do HTML2Markdown **Descrição** O problema diz respeito a uma vulnerabilidade de negação de serviço por expressão regular (ReDoS) na implementação em JavaScript do HTML2Markdown, que é usada para converter HTML em texto Markdown. Não há patches conhecidos disponíveis até o momento da publicação. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Knwl.js versões 1.0.2 e anteriores **Descrição** A vulnerabilidade diz respeito a um ataque de negação de serviço por expressão regular (ReDoS) na biblioteca Knwl.js, utilizada para analisar texto e extrair informações como datas, horários, números de telefone e outros dados. Não há informações sobre o número estimado de dispositivos potencialmente afetados ou incidentes reais em que essa vulnerabilidade tenha sido explorada. **Recomendações** Para as versões 1.0.2 e anteriores, no momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** CommonRegexJS: todas as versões disponíveis **Descrição** O problema diz respeito a um ataque de negação de serviço por expressões regulares (ReDoS) devido a expressões regulares vulneráveis no CommonRegexJS. Não há patches conhecidos disponíveis até o momento da publicação. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Versões 6.3.3 e anteriores do Foundation **Descrição** O problema diz respeito a uma negação de serviço por expressão regular (ReDoS) devido a uma ou mais expressões regulares vulneráveis na estrutura. Não há informações disponíveis sobre o número estimado de dispositivos potencialmente afetados ou incidentes reais em que essa vulnerabilidade tenha sido explorada. **Recomendações** Para as versões 6.3.3 e anteriores do Foundation, no momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Name of the Vulnerable Software and Affected Versions** discordrb versions prior to commit 91e13043ffa **Description** The discordrb library, an implementation of the Discord API using Ruby, has a command injection issue due to the unsafe construction of a shell string using the file parameter in the encoder.rb file. This can potentially leave clients of discordrb vulnerable to command injection if user input is passed to the vulnerable method. An attacker can execute arbitrary shell commands on the host machine, with the full impact depending on the permissions of the process running the discordrb library. **Recommendations** For discordrb versions prior to commit 91e13043ffa, update the library to a version that includes the fix for this issue, once it is available. As a temporary workaround, consider restricting the use of the vulnerable method to minimize the risk of exploitation. Avoid passing user input to the vulnerable method in the encoder.rb file until the issue is resolved.

**Name of the Vulnerable Software and Affected Versions** Mind-elixir versions prior to 0.18.1 **Description** The issue is related to cross-site scripting when handling untrusted menus in Mind-elixir, a free, open source mind map core. **Recommendations** For versions prior to 0.18.1, update to version 0.18.1 to resolve the issue. As a temporary workaround, consider restricting the handling of untrusted menus until the update is applied.

**Name of the Vulnerable Software and Affected Versions** jQuery MiniColors versions prior to 2.3.6 **Description** The issue is related to cross-site scripting when handling untrusted color names. This can be exploited due to the lack of proper input validation in jQuery MiniColors. **Recommendations** For versions prior to 2.3.6, update to version 2.3.6 to resolve the issue. As a temporary workaround, consider validating and sanitizing color names to prevent cross-site scripting attacks.

**Name of the Vulnerable Software and Affected Versions** textAngular versions 1.5.16 and prior **Description** The issue is related to copy-paste cross-site scripting (XSS) in textAngular, a text editor for Angular.js. For this particular type of XSS, the victim needs to be fooled into copying a malicious payload into the text editor. **Recommendations** For versions 1.5.16 and prior, at the moment, there is no information about a newer version that contains a fix for this vulnerability.

**Name of the Vulnerable Software and Affected Versions** Vditor versions prior to 3.8.7 **Description** Vditor is a browser-side Markdown editor. The issue at hand is a copy-paste cross-site scripting (XSS) problem. For this particular type of XSS, the victim needs to be fooled into copying a malicious payload into the text editor. **Recommendations** For versions prior to 3.8.7, update to version 3.8.7 to resolve the issue. As a temporary workaround, consider restricting the use of the text editor until the patch is applied.

**Name of the Vulnerable Software and Affected Versions** Microweber versions 1.2.12 and prior **Description** The issue concerns a copy-paste cross-site scripting (XSS) flaw. This type of XSS requires the victim to be tricked into copying a malicious payload into the text editor. **Recommendations** For versions 1.2.12 and prior, update to a version that includes a complete fix for the copy-paste XSS issue, as the fixes attempted in versions 1.2.9 and 1.2.12 are incomplete. At the moment, there is no information about a newer version that contains a fix for this vulnerability.

**Name of the Vulnerable Software and Affected Versions** Cockpit versions 0.12.2 and prior **Description** Cockpit is a content management system that allows addition of content management functionality to any site. In the affected versions, bad HTML sanitization in `htmleditor.js` may lead to cross-site scripting (XSS) issues. **Recommendations** For Cockpit versions 0.12.2 and prior, at the moment, there is no information about a newer version that contains a fix for this vulnerability. As a temporary workaround, consider disabling the `htmleditor.js` function until a patch is available. Restrict access to the `htmleditor.js` module to minimize the risk of exploitation.

**Name of the Vulnerable Software and Affected Versions** esdoc-publish-html-plugin versions 1.1.2 and prior **Description** The HTML sanitizer in esdoc-publish-html-plugin can be bypassed, potentially leading to cross-site scripting (XSS) issues. There are no known patches for this issue. **Recommendations** For esdoc-publish-html-plugin versions 1.1.2 and prior, at the moment, there is no information about a newer version that contains a fix for this vulnerability.

**Name of the Vulnerable Software and Affected Versions** Baremetrics date range picker versions 1.0.14 and prior **Description** The issue is related to cross-site scripting (XSS) when handling untrusted `placeholder` entries. An attacker who can influence the `placeholder` field when creating a `Calendar` instance can supply arbitrary `html` or `javascript` that will be rendered in the context of a user, leading to XSS. **Recommendations** For versions 1.0.14 and prior, at the moment, there is no information about a newer version that contains a fix for this vulnerability.

**Name of the Vulnerable Software and Affected Versions** iziModal versions prior to 1.6.1 **Description** The issue arises when handling untrusted modal titles, allowing an attacker to influence the `title` field and supply arbitrary `html` or `javascript` code. This code will be rendered in the context of a user, potentially leading to cross-site scripting (XSS). **Recommendations** For versions prior to 1.6.1, update to version 1.6.1 to resolve the issue. As a temporary workaround, consider restricting the ability to influence the `title` field when creating an `iziModal` instance to minimize the risk of exploitation.

**Name of the Vulnerable Software and Affected Versions** MooTools versions all known versions **Description** The issue concerns a CSS selector parser in MooTools that is vulnerable to Regular Expression Denial of Service (ReDoS). An attack can occur if an attacker can inject a string into a CSS selector at runtime, a scenario that is quite common, for example, with jQuery CSS selectors. **Recommendations** At the moment, there is no information about a newer version that contains a fix for this vulnerability.