Ermilov

**Nome do software vulnerável e versões afetadas** jsreport versões 2.5.0 e anteriores **Descrição** A vulnerabilidade permite que invasores executem código arbitrário devido a falhas não intencionais no comando `require` e à falsificação de solicitações no lado do servidor. **Recomendações** Para as versões 2.5.0 e anteriores do jsreport, no momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Versões 0.8.6 e anteriores do script-manager **Descrição** O problema está relacionado a uma vulnerabilidade não intencional no comando `require`, que pode permitir que invasores executem código arbitrário. **Recomendações** Para as versões 0.8.6 e anteriores do script-manager, no momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Name of the Vulnerable Software and Affected Versions** larvitbase-api versions prior to 0.5.4 **Description** The issue allows an attacker to load arbitrary non-production code, specifically JavaScript files, due to an unintended require vulnerability. This is possible because the package exposes an API endpoint and passes a GET parameter unsanitized to a require() call, allowing attackers to execute any .js file in the same folder as the server is running. **Recommendations** Upgrade to version 0.5.4 or later.