Jacob B

**Nome do software vulnerável e versões afetadas** Ankitects Anki versão 24.04 **Descrição** Um cartão de memória especialmente criado pode levar à execução de código arbitrário devido a uma falha na funcionalidade MPV que permite a execução de scripts arbitrários. Um invasor pode enviar um cartão de memória malicioso para explorar essa falha. **Recomendações** Para a versão 24.04, considere desativar a funcionalidade MPV até que um patch esteja disponível para impedir a exploração. Restrinja o acesso ao recurso de cartão de memória para minimizar o risco de execução de código arbitrário. Evite usar cartões de memória especialmente criados na versão afetada até que a falha seja resolvida.

**Nome do software vulnerável e versões afetadas** Ankitects Anki versão 24.04 **Descrição** Existe uma vulnerabilidade no tratamento do LaTeX, na qual o pacote `verbatim` foi ignorado durante a sanitização destinada a impedir comandos perigosos. Isso pode levar à leitura arbitrária de arquivos quando um cartão de estudo especialmente criado é compartilhado por um invasor. **Recomendações** Para o Ankitects Anki versão 24.04, considere desativar o uso do LaTeX ou restringir o compartilhamento de flashcards até que um patch esteja disponível. Como solução temporária, evite usar o pacote verbatim nas distribuições do LaTeX para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Ankitects Anki versão 24.04 **Descrição** Existe uma falha na funcionalidade LaTeX que permite contornar a lista de bloqueios, permitindo que um cartão de memória malicioso especialmente criado crie um arquivo arbitrário em um caminho fixo. Um invasor pode explorar essa falha compartilhando um cartão de memória malicioso. **Recomendações** Para o Ankitects Anki versão 24.04, considere desativar a funcionalidade LaTeX até que uma correção esteja disponível para impedir a exploração. Restrinja o acesso ao recurso de compartilhamento de flashcards para minimizar o risco de criação de arquivos arbitrários.

**Nome do software vulnerável e versões afetadas** Ankitects Anki versão 24.04 **Descrição** Existe uma vulnerabilidade de XSS refletido no tratamento de caminhos inválidos no servidor Flask. Isso pode ser desencadeado por um cartão de memória especialmente criado, levando à execução de código JavaScript e resultando potencialmente na leitura arbitrária de arquivos. Um invasor pode explorar essa vulnerabilidade compartilhando um cartão de memória malicioso. **Recomendações** Para o Ankitects Anki versão 24.04, considere desativar o tratamento de caminhos inválidos no servidor Flask como uma solução temporária até que um patch esteja disponível. Restrinja o acesso ao recurso de flashcard para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.