Eslerm

**Nome do software vulnerável e versões afetadas** Versões do DOMPurify anteriores à 2.5.4 Versões do DOMPurify anteriores à 3.1.3 **Descrição** O problema está relacionado à biblioteca DOMPurify, que é um sanitizador XSS exclusivo para DOM, super-rápido e extremamente tolerante para HTML, MathML e SVG. Descobriu-se que HTML malicioso, utilizando técnicas especiais de aninhamento, pode contornar a verificação de profundidade adicionada ao DOMPurify em versões recentes. Além disso, era possível usar Prototype Pollution para enfraquecer a verificação de profundidade, tornando o DOMPurify incapaz de evitar ataques de cross-site scripting (XSS). **Recomendações** Para versões do DOMPurify anteriores à 2.5.4, atualize para a versão 2.5.4 ou posterior. Para versões do DOMPurify anteriores à 3.1.3, atualize para a versão 3.1.3 ou posterior. Como solução temporária, considere restringir o uso da biblioteca DOMPurify até que um patch esteja disponível.

**Name of the Vulnerable Software and Affected Versions** LXD (affected versions not specified) Ubuntu Server (affected versions not specified) **Description** A feature in LXD affects the default configuration of Ubuntu Server, allowing privileged users in the lxd group to escalate their privilege to root without requiring a sudo password. **Recommendations** For LXD, consider restricting access to the lxd group to minimize the risk of exploitation. For Ubuntu Server, review and modify the default configuration to require a sudo password for privilege escalation. At the moment, there is no information about a newer version that contains a fix for this vulnerability.

**Name of the Vulnerable Software and Affected Versions** DOMPurify versions prior to 2.4.2 **Description** The issue is related to an uncontrolled modification of object prototype attributes in the DOMPurify JavaScript library, which is used for secure cleaning and protection of HTML code. This can allow a remote attacker to impact the confidentiality and integrity of protected information. The library is vulnerable to prototype pollution, which can lead to improper object modification and potential remote code execution. **Recommendations** For DOMPurify versions prior to 2.4.2, update to version 2.4.2 or later to fix the vulnerability. As a temporary workaround, consider restricting the use of the ` proto ` property and the `hasOwnField` function to minimize the risk of exploitation. Avoid using the `ALLOWED ATTR` values in the affected HTML sanitization process until the issue is resolved.

**Nome do software vulnerável e versões afetadas** PHP-Memcached versões 2.2.0 e anteriores **Descrição** O problema está relacionado a um encerramento com NULL inadequado, o que permite que invasores executem injeção CLRF. Isso pode potencialmente levar a violações de segurança. Observe que há uma controvérsia quanto ao impacto direto no PHP-Memcached. **Recomendações** Para as versões 2.2.0 e anteriores do PHP-Memcached, considere atualizar para uma versão que corrija o problema de terminação NULL inadequada, a fim de prevenir ataques de injeção CLRF. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.