Hiroshi Tokumaru

**Nome do software vulnerável e versões afetadas** Versões do gem cgi de 0.1.0.0 a 0.1.0.1 Versões do gem cgi de 0.2.0 a 0.2.1 Versões do gem cgi de 0.3.0 a 0.3.4 **Descrição** O problema está relacionado à divisão de respostas HTTP, que ocorre quando entradas de usuários não confiáveis são inseridas em um cabeçalho de resposta HTTP. Isso permite que um invasor injete conteúdo malicioso, podendo levar ao acesso a dados confidenciais, à violação da integridade dos dados e à negação de serviço. A vulnerabilidade afeta aplicativos que utilizam o gem cgi para gerar respostas HTTP ou criar objetos CGI::Cookie com base em entradas do usuário. **Recomendações** Para as versões 0.1.0.0 a 0.1.0.1 da gem cgi, atualize para a versão 0.1.0.2 ou posterior. Para as versões 0.2.0 a 0.2.1 da gem cgi, atualize para a versão 0.2.2 ou posterior. Para as versões 0.3.0 a 0.3.4 da gem cgi, atualize para a versão 0.3.5 ou posterior. Como solução temporária, considere validar e sanitizar as entradas do usuário antes de inseri-las nos cabeçalhos de resposta HTTP ou nos objetos CGI::Cookie para minimizar o risco de exploração.

**Name of the Vulnerable Software and Affected Versions** Zend Framework versions prior to 1.12.20 **Description** The issue concerns the order and group methods in Zend Db Select, which might allow remote attackers to conduct SQL injection attacks. This is due to the failure to remove comments from an SQL statement before validation. **Recommendations** For versions prior to 1.12.20, update to version 1.12.20 or later to resolve the issue. As a temporary workaround, consider validating and sanitizing user input to minimize the risk of SQL injection attacks. Restrict access to the Zend Db Select component to minimize the risk of exploitation.

**Name of the Vulnerable Software and Affected Versions** Amazon.com Kindle application versions prior to 4.5.0 **Description** The issue concerns the failure to verify X.509 certificates from SSL servers, allowing man-in-the-middle attackers to spoof servers and obtain sensitive information via a crafted certificate. **Recommendations** For versions prior to 4.5.0, update to version 4.5.0 or later to resolve the issue.

**Name of the Vulnerable Software and Affected Versions** SENCHA SNS versions prior to 1.0.2 **Description** A cross-site request forgery issue allows remote attackers to hijack the authentication of arbitrary users. **Recommendations** For versions prior to 1.0.2, update to version 1.0.2 or later to resolve the issue.

**Name of the Vulnerable Software and Affected Versions** SENCHA SNS versions prior to 1.0.2 **Description** The issue allows remote attackers to hijack web sessions. The exact vectors used for the attack are not specified. **Recommendations** For versions prior to 1.0.2, update to version 1.0.2 or later to resolve the issue.