Eva

**Nome do software vulnerável e versões afetadas** Versões do Arc anteriores a 26/08/2024 **Descrição** O problema está relacionado a uma vulnerabilidade de execução remota de código em boosts de JavaScript. Normalmente, os boosts que executam JavaScript não podem ser compartilhados por padrão; no entanto, devido a ACLs do Firebase mal configuradas, é possível criar ou atualizar um boost usando o ID de outro usuário. Isso instala o boost no navegador da vítima e executa JavaScript arbitrário nesse navegador em um contexto privilegiado. Não há relatos de usuários afetados. **Recomendações** Para versões do Arc anteriores a 26/08/2024, atualize para uma versão lançada após 26/08/2024 para resolver o problema. Como solução alternativa temporária, considere restringir o acesso a boosts de JavaScript para minimizar o risco de exploração.