Heiko Webers

**Name of the Vulnerable Software and Affected Versions** Fetlife rollout-ui version 0.5 **Description** The issue allows attackers to execute arbitrary code via a crafted URL to the delete a feature functionality. This is a Cross Site Scripting (XSS) vulnerability. **Recommendations** For Fetlife rollout-ui version 0.5, consider disabling the delete a feature functionality until a patch is available. Restrict access to the crafted URL to minimize the risk of exploitation. Avoid using the delete a feature functionality in the affected version until the issue is resolved.

**Nome do software vulnerável e versões afetadas** Versões da gem PgHero até a 2.6.0 **Descrição** A vulnerabilidade permite ataques CSRF. Normalmente, a PgHero utiliza o método `protect from forgery` do Rails para prevenir CSRF, mas o valor padrão é `:null session`, o que não tem efeito sobre métodos de autenticação não baseados em sessão. Assim, a gem fica vulnerável com métodos de autenticação não baseados em sessão, como a autenticação básica. **Recomendações** Para as versões da gem PgHero até a 2.6.0, considere desativar métodos de autenticação não baseados em sessão, como a autenticação básica, até que um patch esteja disponível. Restrinja o acesso a endpoints vulneráveis para minimizar o risco de exploração.