Grumpinout1

**Nome do Software Vulnerável e Versões Afetadas** GitButler versões anteriores a 0.19.7 **Description** Um problema de execução remota de código existe no aplicativo de desktop baseado em Tauri. Um invasor pode injetar um link malicioso no corpo de um pull request; se um usuário clicar nesse link, isso permite a execução de scripts arbitrários no webview do Tauri. Este problema afeta apenas usuários que habilitaram a integração com forge. **Recommendations** Atualize para a versão 0.19.7. Desative a integração com forge para mitigar o risco de exploração.

**Nome do Software Vulnerável e Versões Afetadas** Tauri versões 2.0 a 2.10.2 **Description** Uma falha na função `is local url()` faz com que URLs remotas sejam incorretamente classificadas como origens locais confiáveis no Windows e Android. Nessas plataformas, o Tauri mapeia protocolos de esquemas de URI personalizados para `http://<scheme>.localhost/` porque as implementações de WebView desses sistemas não podem servir esquemas de URI personalizados diretamente. O problema ocorre porque a verificação de origens locais valida apenas o primeiro subdomínio da URL. Um invasor pode explorar isso hospedando uma página em um domínio onde o primeiro subdomínio corresponda ao esquema personalizado do aplicativo (ex: `http://app.attacker.com/`). Isso permite que uma página controlada por um invasor invoque comandos de backend que deveriam estar restritos ao frontend do próprio aplicativo e protegidos contra origens externas ou remotas. **Recommendations** Atualize para a versão 2.10.3.

Name of the Vulnerable Software and Affected Versions hoppscotch versões anteriores a 2026.3.0 Description hoppscotch, um ecossistema de desenvolvimento de API de código aberto, contém uma falha de scripting entre sites (XSS) armazenada que pode levar a falsificação de solicitação entre sites (CSRF). Recommendations Atualize para a versão 2026.3.0 ou posterior.

Name of the Vulnerable Software and Affected Versions hoppscotch versões anteriores a 2026.3.0 Description hoppscotch, um ecossistema de desenvolvimento de API de código aberto, contém uma falha de redirecionamento aberto. Essa falha pode resultar no roubo de tokens, permitindo potencialmente que um invasor comprometa contas de usuário fazendo login como a vítima. Recommendations Atualize o hoppscotch para a versão 2026.3.0 ou posterior.

**Name of the Vulnerable Software and Affected Versions** Storybook versions prior to 7.6.23 Storybook versions prior to 8.6.17 Storybook versions prior to 9.1.19 Storybook versions prior to 10.2.10 **Description** Storybook’s dev server WebSocket functionality, used for creating and updating stories, is susceptible to WebSocket hijacking. This issue impacts the dev server only and does not affect production builds. Exploitation requires a developer to visit a malicious website while running the local Storybook dev server. The WebSocket connection lacks origin validation, allowing a malicious site to send WebSocket messages to the local instance without user interaction. If the Storybook dev server is publicly exposed, an unauthenticated attacker can directly send WebSocket messages. The WebSocket message handlers for creating and saving stories are vulnerable to injection through unsanitized input in the `componentFilePath` field, potentially leading to persistent Cross-Site Scripting (XSS) or Remote Code Execution (RCE). **Recommendations** Update Storybook to version 7.6.23 or later. Update Storybook to version 8.6.17 or later. Update Storybook to version 9.1.19 or later. Update Storybook to version 10.2.10 or later.

**Nome do Software Vulnerável e Versões Afetadas** Versões do Astro anteriores a 9.5.4 **Descrição** O Astro, um framework web, é afetado por uma vulnerabilidade de Falsificação de Solicitação do Lado do Servidor (SSRF) em versões anteriores a 9.5.4. Páginas renderizadas no lado do servidor que retornam um erro com uma página de erro personalizada pré-renderizada (como `404.astro` ou `500.astro`) são suscetíveis. Se o cabeçalho `Host:` for manipulado para apontar para o servidor do invasor, ele pode ser recuperado ao solicitar um recurso como `/500.html`, permitindo o redirecionamento para qualquer URL interna e possibilitando ao invasor ler o corpo da resposta da solicitação inicial. Um invasor pode acessar o aplicativo sem validação do cabeçalho `Host:`, possivelmente descobrindo o endereço IP de origem por trás de um proxy, e fazer com que o servidor solicite seu próprio servidor para redirecionar para endereços IP internos. Isso permite o acesso aos IPs de metadados da nuvem e interação com serviços dentro da rede interna ou no localhost. O problema requer acesso direto ao servidor sem proxies intermediários. **Recomendações** Atualize para a versão 9.5.4 do Astro ou posterior.

**Name of the Vulnerable Software and Affected Versions** Langfuse versions 3.146.0 and below **Description** Langfuse is an open source large language model engineering platform. The `/api/public/slack/install` endpoint initiates Slack OAuth using a `projectId` provided by the client without authentication or authorization. The `projectId` is preserved throughout the OAuth flow, and the callback stores installations based on this untrusted metadata. This allows an attacker to bind their Slack workspace to any project and potentially receive changes to prompts stored in Langfuse Prompt Management. An attacker can replace existing Prompt Slack Automation integrations or pre-register a malicious one, though the latter requires an authenticated user to unknowingly configure it despite visible workspace and channel indicators in the UI. **Recommendations** Update to version 3.147.0 or later.