Jamie Slome

**Nome do software vulnerável e versões afetadas** Versões do Poddycast anteriores à 0.8.1 **Descrição** O aplicativo não limpa os caracteres HTML das informações do podcast obtidas do feed, o que permite a injeção de código HTML e JS, resultando em cross-site scripting. Como o Poddycast é desenvolvido com o Electron, esse cross-site scripting pode ser ampliado para a execução remota de código, tornando possível executar comandos na máquina onde o aplicativo está em execução. **Recomendações** Para versões anteriores à 0.8.1, atualize para a versão 0.8.1 para resolver o problema. Como solução temporária, considere restringir o uso de informações de podcast obtidas de feeds não confiáveis para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Versões do object-path <= 0.11.4 **Descrição** Foi identificada uma vulnerabilidade de contaminação de protótipos no método `set()` da biblioteca `object-path`. A vulnerabilidade está limitada ao modo `includeInheritedProps`, que deve ser explicitamente ativado criando-se uma nova instância de `object-path` e definindo a opção `includeInheritedProps: true`, ou utilizando a instância padrão `withInheritedProps`. Qualquer uso de `set()` nas versões < 0.11.0 é vulnerável. O problema foi corrigido na versão 0.11.5 do object-path. **Recomendações** Para versões <= 0.11.4, atualize para a versão 0.11.5 para corrigir o problema. Como solução temporária, não use as opções `includeInheritedProps: true` ou a instância `withInheritedProps` se estiver usando uma versão >= 0.11.0.