Gouldnicholas

**Nome do Software Vulnerável e Versões Afetadas** pyp2spec versões anteriores a 0.14.1 **Descrição** O pyp2spec grava metadados de pacotes PyPI, como o campo de resumo, em arquivos spec gerados sem escapar as diretivas de macro do RPM. Quando um empacotador utiliza ferramentas como `rpmbuild -bs`, `rpmbuild --nobuild` ou `rpm -q --specfile`, essas diretivas são avaliadas, permitindo que um pacote malicioso execute comandos arbitrários na máquina de build. Essa execução ocorre durante a análise do spec, o que significa que um build completo não é necessário para a комprometimento. Vetores de ataque potenciais incluem typosquatting ou o direcionamento de pacotes sob revisão do Fedora, o que poderia levar ao comprometimento de credenciais sensíveis, como chaves SSH do dist-git, credenciais de build do Koji e credenciais de atualização do Bodhi. **Recomendações** Atualize para a versão 0.14.1.

**Nome do Software Vulnerável e Versões Afetadas** Traefik versões anteriores a 2.11.43 Traefik versões anteriores a 3.6.14 Traefik versões anteriores a 3.7.0-rc.2 **Descrição** Existe uma falha de bypass de autenticação no middleware StripPrefixRegex quando utilizado com ForwardAuth, BasicAuth ou DigestAuth. O middleware correlaciona uma expressão regular com o caminho da URL decodificado, mas utiliza o comprimento de bytes resultante para fatiar o caminho bruto codificado em percentual. Quando um ponto (ou múltiplos pontos) aparece na parte do prefixo da URL, o caminho bruto após a remoção torna-se um segmento de ponto (ex: `/./admin/secret`). O ForwardAuth recebe este caminho de segmento de ponto na variável `X-Forwarded-Uri`, que não corresponde aos padrões de caminhos protegidos e, portanto, permite a passagem da requisição. O backend então normaliza o segmento de ponto para o caminho real conforme a RFC 3986 e fornece o conteúdo protegido. Um invasor não autenticado pode explorar isso contra qualquer backend que realize a normalização de segmentos de ponto. **Recomendações** Atualizar para a versão 2.11.43. Atualizar para a versão 3.6.14. Atualizar para a versão 3.7.0-rc.2.