Gabor Matuz

**Nome do software vulnerável e versões afetadas** Versões do anchorme anteriores à versão corrigida **Descrição** O problema diz respeito a um ataque de Cross-site Scripting (XSS) por meio da funcionalidade principal do pacote. Ele aceita entradas que podem resultar na geração de uma tag âncora `a` contendo código JavaScript indesejável, que pode ser executado mediante a interação do usuário. Todas as versões do pacote estão afetadas. **Recomendações** Para versões anteriores à versão corrigida, atualize para a versão mais recente para resolver o problema. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Anchore Engine versão 0.7.0 **Descrição** Um manifesto de imagem de contêiner especialmente criado pode desencadear uma falha de escape de shell no serviço de análise do Anchore Engine durante um processo de análise de imagem. Isso pode ser executado por um usuário autenticado por meio de uma solicitação de API válida ao Anchore Engine, ou se uma imagem já adicionada que o Anchore está monitorando tiver seu manifesto alterado para explorar a mesma falha. Um ataque bem-sucedido pode executar comandos no ambiente do analisador com as mesmas permissões do usuário sob o qual o Anchore Engine é executado, incluindo acesso às credenciais que o Engine usa para acessar seu próprio banco de dados e ao ambiente do serviço do analisador do Engine em execução. **Recomendações** Para a versão 0.7.0 do Anchore Engine, atualize para a versão 0.7.1 para corrigir o problema. Como solução alternativa temporária, considere restringir o acesso ao ambiente do serviço do analisador para minimizar o risco de exploração. Evite executar o Engine diretamente ou definir explicitamente o usuário como ‘root’ para impedir acesso com privilégios elevados.