Jh4Nks

**Name of the Vulnerable Software and Affected Versions** pydicom versions 2.0.0-rc.1 through 3.0.1 **Description** pydicom is susceptible to a path traversal issue when processing maliciously crafted DICOM files. Specifically, a crafted `DICOMDIR` can set `ReferencedFileID` to a path outside the expected File-set root. The software only verifies the existence of the path but does not confirm that it remains within the designated root directory. Subsequent operations like `copy()`, `write()`, and `remove()+write(use existing=True)` then utilize this unchecked path for file I/O, potentially allowing arbitrary file read, copy, move, or deletion outside the intended File-set root. This is due to the lack of a containment check to ensure the resolved path is within the File-set root. A realistic scenario involves a user uploading a malicious DICOM File-set zip, which the server then loads and re-exports, potentially including server-local files referenced by the malicious `DICOMDIR` in the exported result. **Recommendations** Update to pydicom version 3.0.2 or later.

**Nome do Software Vulnerável e Versões Afetadas** Versões do text-generation-webui até a 3.13 **Descrição** O text-generation-webui é uma interface web para execução de Modelos de Linguagem de Grande Escala. Existe uma vulnerabilidade de Inclusão de Arquivo Local (Local File Inclusion) na funcionalidade de upload de imagens de personagens. Um atacante pode fazer upload de um arquivo de texto contendo um link simbólico para um caminho de arquivo arbitrário. A aplicação segue o link simbólico e disponibiliza o conteúdo do arquivo alvo através da interface web. Isso permite que um atacante não autenticado leia arquivos sensíveis no servidor, potencialmente expondo configurações do sistema e credenciais. **Recomendações** Atualize para a versão 3.14 ou posterior.