G-Rath

**Nome do software vulnerável e versões afetadas** request store versão 1.3.2 **Descrição** Os arquivos publicados como parte do request store 1.3.2 possuem permissões 0666, o que significa que são graváveis por qualquer usuário, permitindo que usuários locais executem código arbitrário. Esta versão foi publicada em 2017, e a maioria dos ambientes de produção não permite acesso para usuários locais; portanto, as chances de isso ser explorado são muito baixas, já que a grande maioria dos usuários já deve ter atualizado, e aqueles que não o fizeram, se houver, provavelmente não estarão expostos. **Recomendações** Para resolver o problema, basta atualizar para uma versão mais recente, já que não há outra versão da gem com permissões incorretas. Como alternativa, você mesmo pode alterar os direitos de acesso dos arquivos (chmod) como uma solução temporária. A atualização para a versão 1.4.0 é especificamente recomendada para mitigar os riscos.

**Nome do software vulnerável e versões afetadas** Versões do Kaminari anteriores à 0.16.2 **Descrição** Foi identificada uma falha de segurança envolvendo permissões de arquivo inseguras na biblioteca de paginação Kaminari para Ruby on Rails. Esta falha é de gravidade moderada devido ao potencial de acesso de gravação não autorizado a determinados arquivos Ruby gerenciados pela biblioteca, o que poderia levar à alteração do comportamento da aplicação ou a problemas de integridade de dados. **Recomendações** Para versões anteriores à 0.16.2, atualize para a versão 0.16.2 ou posterior do Kaminari, na qual as permissões de arquivo foram ajustadas para aumentar a segurança. Se a atualização não for viável imediatamente, ajuste manualmente as permissões de arquivo no servidor para restringir o acesso, definindo-as como 644. Considere revisar e ajustar as permissões de arquivo para arquivos Ruby específicos no Kaminari para garantir que eles sejam acessíveis apenas por usuários autorizados.

**Nome do software vulnerável e versões afetadas** Versões do ROTP anteriores à 6.3.0 **Descrição** A biblioteca Ruby One Time Password (ROTP) é uma biblioteca de código aberto para gerar e validar senhas de uso único. As versões afetadas possuíam permissões padrão excessivamente permissivas. **Recomendações** Para versões anteriores à 6.3.0, os usuários devem aplicar a correção para a versão 6.3.0. Para usuários que não possam aplicar a correção, corrijam as permissões dos arquivos após a instalação.

**Name of the Vulnerable Software and Affected Versions** Resque versions prior to 2.1.0 **Description** The issue is related to reflected Cross Site Scripting (XSS) through the `current queue` parameter in the path of the queues endpoint. This allows for potential exploitation by manipulating the endpoint path. The estimated number of potentially affected devices worldwide is not specified. There is no information about real-world incidents where this issue was exploited. The technical details about exploitation include the use of the `current queue` parameter in the queues endpoint. **Recommendations** For Resque versions prior to 2.1.0, update to version 2.1.0 to resolve the issue. As a temporary workaround, consider avoiding clicks on 3rd party or untrusted links to the resque-web interface until the application is patched.