Fancymalware

**Nome do Software Vulnerável e Versões Afetadas** Nuxt versões 3.1.0 até 3.21.5 Nuxt versões 4.0.0-alpha.1 até 4.4.5 @nuxt/nitro-server versões 3.20.0 até 3.21.5 @nuxt/nitro-server versões 4.0.0-alpha.1 até 4.4.5 **Description** O endpoint '/ nuxt island/*' aceita parâmetros de consulta ou corpo `props` controlados por um invasor e renderiza componentes de ilha sem verificar se o hash residente na URL (`<Name> <hashId>.json`) foi emitido para essas entradas específicas pelo `<NuxtIsland>`. Como o hash é computado no lado do cliente e não é validado no servidor, o mesmo caminho pode retornar respostas diferentes dependendo da consulta. Em ambientes onde um CDN ou proxy reverso armazena em cache este endpoint apenas pelo caminho (ignorando a consulta), um invasor pode preencher o cache com seus próprios props, fazendo com que usuários subsequentes recebam o HTML renderizado pelo invasor. Se o código da aplicação passar um prop para um sumidouro HTML inseguro (como `v-html` ou `innerHTML`), isso pode levar a um Cross-Site Scripting (XSS) armazenado na origem da página de incorporação até que a entrada do cache expire. **Recommendations** Atualize o Nuxt para a versão 3.21.6 ou 4.4.6. Atualize o @nuxt/nitro-server para a versão 3.21.6 ou 4.4.6. Certifique-se de que qualquer cache intermediário utilize a string de consulta completa como chave para '/ nuxt island/*', e não apenas o caminho. Audite as ilhas criadas pela aplicação para garantir que os props não sejam passados para `v-html`, `innerHTML` ou sumidouros HTML semelhantes, tratando os props da ilha como entrada de usuário não confiável.

**Nome do Software Vulnerável e Versões Afetadas** Traefik versões anteriores a 2.11.43 Traefik versões anteriores a 3.6.14 Traefik versões anteriores a 3.7.0-rc.2 **Descrição** Existe uma falha de bypass de autenticação no middleware ForwardAuth e de autenticação baseada em snippets. A lógica de sanitização de cabeçalhos encaminhados visa apenas nomes de cabeçalhos canônicos e não remove ou normaliza variantes de apelidos que usam sublinhados em vez de hifens (por exemplo, `X Forwarded Proto` em vez de `X-Forwarded-Proto`). Esses cabeçalhos de apelidos não sanitizados são encaminhados integralmente para o backend de autenticação. Quando o backend normaliza as formas de sublinhado e hífen de maneira equivalente, um invasor pode injetar um contexto de confiança forjado — como um esquema ou host confiável — através dos cabeçalhos de apelidos e burlar a autenticação em rotas protegidas sem credenciais válidas. **Recomendações** Atualizar para a versão 2.11.43. Atualizar para a versão 3.6.14. Atualizar para a versão 3.7.0-rc.2.

**Nome do Software Vulnerável e Versões Afetadas** SandboxJS versões anteriores a 0.8.35 **Descrição** SandboxJS possui uma falha onde a atribuição direta a objetos globais é bloqueada, mas essa proteção pode ser ignorada por meio de um caminho de construtor chamável usando `this.constructor.call(target, attackerObject)`. Isso permite que o código do invasor grave propriedades arbitrárias em objetos globais do host, persistindo essas alterações em todas as instâncias de sandbox dentro do mesmo processo. A vulnerabilidade surge porque a gravação perigosa é realizada internamente por uma função chamável do host, ignorando as verificações de gravação pretendidas. Um invasor pode aproveitar isso para modificar o estado de tempo de execução do host e potencialmente executar código arbitrário, conforme demonstrado pela sobrescrita de `Math.random` e pela execução de comandos por meio de um gadget do host. Esta é uma fuga de integridade do sandbox, permitindo que código não confiável mute objetos globais compartilhados do host, apesar das proteções de gravação global. Essas mutações podem afetar outras solicitações, locatários ou execuções subsequentes de sandbox, levando potencialmente a um sequestro de fluxo de controle na lógica da aplicação. **Recomendações** Atualize para a versão 0.8.35 ou posterior do SandboxJS.

**Name of the Vulnerable Software and Affected Versions** Parse Server versions prior to 8.6.51 Parse Server versions prior to 9.6.0-alpha.40 **Description** Parse Server contains a flaw where the Pages route and legacy PublicAPI route for resending email verification links reveal different responses based on whether a username exists and has an unverified email. This allows an unauthenticated attacker to enumerate valid usernames by observing redirect targets. The `emailVerifySuccessOnInvalidEmail` configuration option, which is enabled by default and protects the API route, did not apply to these routes. The issue is addressed by ensuring these routes respect the `emailVerifySuccessOnInvalidEmail` option, redirecting to the success page regardless of the outcome when the option is set to `true`. **Recommendations** Upgrade to Parse Server version 8.6.51 or later. Upgrade to Parse Server version 9.6.0-alpha.40 or later.

**Name of the Vulnerable Software and Affected Versions** Parse Server versions prior to 9.6.0-alpha.24 Parse Server versions prior to 8.6.47 **Description** Remote clients can crash the Parse Server process by calling a cloud function endpoint with a crafted function name. This crafted name traverses the JavaScript prototype chain of a registered cloud function handler, causing a stack overflow. The issue affects Parse Server, an open source backend deployable on Node.js infrastructures. The fix restricts property lookups during cloud function name resolution to own properties only, preventing prototype chain traversal from stored function handlers. The vulnerable component is the cloud function handler. The attack is performed by calling a cloud function endpoint with a crafted function name. **Recommendations** Update Parse Server to version 9.6.0-alpha.24 or later. Update Parse Server to version 8.6.47 or later.

**Name of the Vulnerable Software and Affected Versions** Parse Server versions prior to 9.6.0-alpha.28 and 8.6.48 **Description** Parse Server, an open-source backend deployable on Node.js infrastructures, has an issue in its password reset mechanism. The system does not guarantee single-use tokens for password resets. An attacker intercepting a reset token can potentially race a legitimate user's password reset request, successfully changing the password to one controlled by the attacker. This could lead the legitimate user to believe their password change was successful, while the attacker gains access. The issue affects all Parse Server deployments utilizing the password reset feature. The password reset token is now atomically validated and consumed as part of the password update operation in versions 9.6.0-alpha.28 and 8.6.48. The database query that updates the password includes the reset token as a condition, ensuring that only one concurrent request can successfully consume the token. **Recommendations** Parse Server versions prior to 9.6.0-alpha.28 should be upgraded. Parse Server versions prior to 8.6.48 should be upgraded.

**Name of the Vulnerable Software and Affected Versions** Parse Server versions prior to 9.6.0-alpha.29 Parse Server versions prior to 8.6.49 **Description** Parse Server is an open source backend deployable on Node.js infrastructures. A user can create an account without providing credentials by submitting an empty `authData` object, circumventing the username and password requirement. This allows the creation of authenticated sessions without valid credentials, even when anonymous users are disabled. The issue arises because empty or non-actionable `authData` was not treated the same as absent `authData` during credential validation for new user creation. The ` User` class is involved in this process. **Recommendations** Versions prior to 9.6.0-alpha.29 should be updated. Versions prior to 8.6.49 should be updated. As a workaround, implement a Cloud Code `beforeSave` trigger on the ` User` class to reject signups where `authData` is empty and no username/password is provided.

**Name of the Vulnerable Software and Affected Versions** Parse Server versions prior to 9.6.0-alpha.19 Parse Server versions prior to 8.6.43 Parse Server versions prior to 9.6.0 Parse Server versions prior to 8.6.43 **Description** A remote attacker can cause a denial of service by subscribing to a LiveQuery with an invalid regular expression pattern. The server process terminates when the invalid pattern reaches the regex engine during subscription matching, impacting all connected clients. The issue occurs because the server does not validate regular expression patterns at subscription time. **Recommendations** Update to Parse Server version 9.6.0-alpha.19 or later. Update to Parse Server version 8.6.43 or later. Update to Parse Server version 9.6.0 or later. Update to Parse Server version 8.6.43 or later. Disable LiveQuery if it is not needed.

**Name of the Vulnerable Software and Affected Versions** Parse Server versions prior to 9.6.0-alpha.15 Parse Server versions prior to 8.6.41 Parse Server versions prior to 9.6.0 Parse Server versions prior to 8.6.41 **Description** Parse Server, an open-source backend deployable on Node.js infrastructures, is affected by a file upload issue. An attacker with file upload privileges can bypass the file extension filter by appending a MIME parameter (e.g., `;charset=utf-8`) to the `Content-Type` header. This bypass allows the storage and serving of active content under the application's domain. Additionally, certain XML-based file extensions capable of rendering scripts in web browsers were not included in the default blocklist, potentially leading to stored cross-site scripting (XSS) attacks. Successful exploitation could compromise session tokens, user credentials, and other sensitive data accessible through the browser's local storage. The issue stems from improper validation of file extensions when a MIME parameter is present in the `Content-Type` header. The vulnerable component is the file upload functionality, specifically the extension validation process. **Recommendations** Versions prior to 9.6.0-alpha.15 should be updated. Versions prior to 8.6.41 should be updated. Versions prior to 9.6.0 should be updated. Versions prior to 8.6.41 should be updated. Configure the `fileUpload.fileExtensions` option to use an allowlist of only the file extensions that your application needs, rather than relying on the default blocklist.

**Name of the Vulnerable Software and Affected Versions** Parse Server versions prior to 8.6.40 Parse Server versions prior to 9.6.0-alpha.14 **Description** Parse Server, an open-source backend deployable on Node.js infrastructures, is affected by an issue in the GraphQL WebSocket endpoint for subscriptions. Prior to fixes, this endpoint did not enforce authentication, introspection control, or query complexity limits through the standard Express middleware chain. This allowed attackers to connect to the WebSocket endpoint and execute GraphQL operations without valid API keys, access the GraphQL schema even with public introspection disabled, and bypass query complexity limits by sending arbitrarily complex queries. **Recommendations** Versions prior to 8.6.40 should be updated to version 8.6.40 or later. Versions prior to 9.6.0-alpha.14 should be updated to version 9.6.0-alpha.14 or later. Block WebSocket upgrade requests to the GraphQL subscriptions path (by default `/subscriptions`) at the network level, for example using a reverse proxy or load balancer rule.

**Name of the Vulnerable Software and Affected Versions** Parse Server versions prior to 9.6.0-alpha.11 and 8.6.37 **Description** Parse Server, an open source backend deployable on Node.js infrastructures, has an issue where its built-in OAuth2 authentication adapter reuses a singleton instance across all OAuth2 provider configurations. Concurrent authentication requests for different OAuth2 providers can lead to one provider’s token validation using another provider’s configuration. This could allow a token that should be rejected by one provider to be incorrectly accepted due to validation against a different provider’s policy. Deployments configuring multiple OAuth2 providers with the `oauth2: true` flag are affected. The issue stems from a race condition in the OAuth2 adapter, potentially allowing attackers to bypass token validation. **Recommendations** Versions prior to 9.6.0-alpha.11 should be updated to 9.6.0-alpha.11 or later. Versions prior to 8.6.37 should be updated to 8.6.37 or later.

**Name of the Vulnerable Software and Affected Versions** Parse Server versions prior to 9.6.0-alpha.13 and 8.6.39 **Description** Parse Server, an open source backend deployable on Node.js infrastructures, is affected by an issue in its OAuth2 authentication adapter. When `appidField` and `appIds` are configured, the adapter does not properly validate application IDs. During validation, a malformed value is sent to the token introspection **API Endpoint** instead of the user’s actual access token. The behavior of the introspection endpoint determines the impact: it could lead to a failure of all OAuth2 logins or allow authentication from unauthorized application contexts if the endpoint returns seemingly valid data for the incorrect request. Deployments utilizing the OAuth2 adapter with `appidField` and `appIds` configured are susceptible. The issue involves incorrect parameter alignment in the OAuth2 adapter's app ID validation method. **Recommendations** Versions prior to 9.6.0-alpha.13 should be updated to 9.6.0-alpha.13 or later. Versions prior to 8.6.39 should be updated to 8.6.39 or later.

**Name of the Vulnerable Software and Affected Versions** Parse Server versions prior to 9.6.0-alpha.12 and 8.6.38 **Description** Parse Server, an open-source backend deployable on Node.js infrastructures, is susceptible to account takeover. An unauthenticated attacker can compromise user accounts created with authentication providers that do not validate user identifiers, such as those using anonymous authentication. By submitting a specially crafted login request, the attacker can manipulate the server into performing a pattern-matching query instead of an exact-match lookup. This allows the attacker to successfully match an existing user and obtain a valid session token, effectively gaining control of the user's account. Both MongoDB and PostgreSQL database backends are affected. The issue stems from insufficient input validation for authentication data, specifically the user identifier. The fix involves enforcing that the user identifier is a string before use in database queries, rejecting non-string values. **Recommendations** Versions prior to 9.6.0-alpha.12 should be updated to 9.6.0-alpha.12 or later. Versions prior to 8.6.38 should be updated to 8.6.38 or later.

**Nome do Software Vulnerável e Versões Afetadas** Parse Server versões anteriores à 8.6.8 Parse Server versões anteriores à 9.5.0-alpha.8 **Descrição** O Parse Server, um backend de código aberto que pode ser implantado em infraestruturas Node.js, contém uma vulnerabilidade de travessia de caminho na rota de fornecimento de arquivos estáticos do PagesRouter. Isso permite acesso não autenticado a arquivos fora do diretório `pagesPath` designado. O problema decorre de uma comparação de prefixo de string que não impõe a utilização de separadores de diretório, permitindo que atacantes acessem arquivos em diretórios irmãos cujos nomes compartilham um prefixo com o diretório de páginas. A rota vulnerável é suscetível a sequências de travessia de caminho. **Recomendações** Atualize para a versão 8.6.8 ou posterior do Parse Server. Atualize para a versão 9.5.0-alpha.8 ou posterior do Parse Server.

**Nome do Software Vulnerável e Versões Afetadas** Versões do Parse Server 9.3.1-alpha.3 a 9.5.0-alpha.10 **Descrição** O Parse Server, um backend de código aberto implantável em infraestruturas Node.js, contém um problema em que desativar o graphQLPublicIntrospection não impede totalmente usuários não autenticados de realizar reconhecimento de tipos. Especificamente, consultas ` type` aninhadas em fragmentos embutidos podem contornar os controles de introspecção. A funcionalidade de introspecção ` schema` permanece inalterada. O problema ocorre quando o graphQLPublicIntrospection está desativado e permite que atacantes coletem informações sobre o esquema do servidor. As consultas vulneráveis utilizam a função ` type` dentro de fragmentos embutidos, como `... on Query { type(name:"User") { name } }`. **Recomendações** Atualize para a versão 9.5.0-alpha.10 do Parse Server ou superior.

**Nome do Software Vulnerável e Versões Afetadas** Versões do Parse Server anteriores a 8.6.9 Versões do Parse Server anteriores a 9.5.0-alpha.9 **Descrição** O Parse Server, um backend de código aberto implantável em infraestruturas Node.js, apresenta um problema em que o endpoint de metadados de arquivos não executa os gatilhos `beforeFind` e `afterFind` para versões anteriores a 8.6.9 e 9.5.0-alpha.9. Quando esses gatilhos são utilizados para controle de acesso, o endpoint de metadados os contorna, o que pode permitir acesso não autorizado aos metadados de arquivos. O endpoint da API vulnerável é `/files/:appId/metadata/:filename`. **Recomendações** Atualize para a versão 8.6.9 ou superior do Parse Server. Atualize para a versão 9.5.0-alpha.9 ou superior do Parse Server.

**Nome do Software Vulnerável e Versões Afetadas** Versões do Parse Server anteriores à 8.6.7 Versões do Parse Server anteriores à 9.5.0-alpha.6 **Descrição** O Parse Server é um backend de código aberto implantável em infraestruturas Node.js. Um parâmetro de consulta `$regex` malformado, como `[abc)`, pode fazer com que o banco de dados retorne um objeto de erro estruturado não sanitizado na resposta da API. Isso expõe detalhes internos do banco de dados, incluindo mensagens de erro, códigos de erro, nomes de códigos, timestamps de cluster e detalhes de topologia. O problema pode ser explorado por qualquer cliente capaz de enviar solicitações de consulta, dependendo das configurações de permissão da implantação. O parâmetro vulnerável é `$regex`. O endpoint da API que recebe o parâmetro vulnerável não está especificado. **Recomendações** Atualize para a versão 8.6.7 do Parse Server ou posterior. Atualize para a versão 9.5.0-alpha.6 do Parse Server ou posterior.