Ikkisoft

Nome do Software Vulnerável e Versões Afetadas: request-filtering-agent versões 1.x.x e anteriores Descrição: request-filtering-agent é uma implementação de http(s).Agent projetada para bloquear requisições para endereços IP privados/reservados. Requisições HTTPS para `127.0.0.1` ignoram a filtragem de endereço IP, enquanto as requisições HTTP são bloqueadas corretamente. Isso permite potencial acesso a serviços HTTPS internos executando em localhost, contornando a proteção contra Falsificação de Solicitação no Lado do Servidor (SSRF) da biblioteca. A questão é particularmente perigosa quando aplicativos aceitam URLs controladas pelo usuário e os serviços internos são protegidos apenas por restrições de nível de rede. Recomendações: Atualize para a versão 2.0.0 ou posterior do request-filtering-agent.

Nome do Software Vulnerável e Versões Afetadas: vite-plugin-static-copy versões anteriores à 2.3.2 vite-plugin-static-copy versões anteriores à 3.1.2 Descrição: O plugin vite-plugin-static-copy para Vite permite o acesso a arquivos não incluídos no diretório `src` por meio de uma requisição manipulada. Isso pode levar à divulgação de arquivos arbitrários no sistema de arquivos. A vulnerabilidade afeta aplicações que expõem explicitamente o servidor de desenvolvimento do Vite à rede. Um atacante pode explorar essa questão enviando uma requisição HTTP especialmente manipulada para acessar arquivos fora do diretório pretendido. Recomendações: vite-plugin-static-copy versões anteriores à 2.3.2: Atualize para a versão 2.3.2 ou posterior. vite-plugin-static-copy versões anteriores à 3.1.2: Atualize para a versão 3.1.2 ou posterior.