Everardo Padilla Saca

**Nome do software vulnerável e versões afetadas** Versões 0.8.0 a 1.0.4 do Apache Helix **Descrição** O problema está relacionado a uma vulnerabilidade de redirecionamento de URL para um site não confiável (“Open Redirect”) no componente de interface do usuário (UI) do Apache Helix. Essa vulnerabilidade afeta todas as versões do Apache Helix, da 0.8.0 à 1.0.4. O problema foi causado por um componente de redirecionamento mal projetado para incorporação na interface do usuário. **Recomendações** Para as versões 0.8.0 a 1.0.4, atualize para a versão 1.1.0 para corrigir o problema. Como solução temporária, considere remover o componente de redirecionamento, uma vez que ele foi mal projetado para incorporação na interface do usuário.

**Nome do software vulnerável e versões afetadas** Versões do Apache Airflow anteriores à 1.10.12 **Descrição** O problema diz respeito a uma exploração de tipo XSS no Apache Airflow. O parâmetro `origin` passado a determinados endpoints, como `/trigger`, está vulnerável a essa exploração. **Recomendações** Para versões anteriores à 1.10.12, atualize para a versão 1.10.12 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso aos endpoints vulneráveis, como `/trigger`, para minimizar o risco de exploração. Evite usar o parâmetro `origin` nos endpoints da API afetados até que o problema seja resolvido.

**Nome do software vulnerável e versões afetadas** uvicorn (versões afetadas não especificadas) **Descrição** O registrador de solicitações do uvicorn é suscetível à injeção de sequências de escape ANSI. Quando o pacote registra detalhes de solicitações HTTP no console ou em um arquivo de log, ele pode processar URLs maliciosas com sequências de escape codificadas por porcentagem, convertendo-as em seus equivalentes de um único caractere. Isso pode ter um significado especial em emuladores de terminal, permitindo que invasores corrompam os registros de acesso e, potencialmente, interajam com o emulador de terminal que exibe os registros. Os invasores podem explorar essa vulnerabilidade solicitando URLs com caminhos manipulados. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Versões do Uvicorn anteriores à 0.11.7 **Descrição** A vulnerabilidade permite que invasores explorem a divisão de respostas HTTP (HTTP response splitting) adicionando cabeçalhos arbitrários às respostas HTTP ou retornando um corpo de resposta arbitrário quando entradas maliciosas são usadas para construir cabeçalhos HTTP. Isso ocorre porque as sequências CRLF não são escapadas no valor dos cabeçalhos HTTP. **Recomendações** Para versões anteriores à 0.11.7, atualize para a versão 0.11.7 ou posterior para resolver o problema. Como solução temporária, considere validar e sanitizar todas as entradas usadas para construir cabeçalhos HTTP, a fim de impedir a inclusão de sequências CRLF maliciosas.