Jiyong Yang

Nome do Software Vulnerável e Versões Afetadas Versões do Django 6.0 a 6.0.1 Versões do Django 5.2 a 5.2.10 Versões do Django 4.2 a 4.2.27 Versões do Django 5.0.x e anteriores Versões do Django 4.1.x e anteriores Versões do Django 3.2.x e anteriores Descrição O componente `ASGIRequest` é suscetível a uma condição de negação de serviço. Um atacante remoto pode explorar isso ao enviar uma requisição especialmente elaborada contendo cabeçalhos duplicados. Recomendações Atualize o Django para a versão 6.0.2 ou posterior. Atualize o Django para a versão 5.2.11 ou posterior. Atualize o Django para a versão 4.2.28 ou posterior.

**Name of the Vulnerable Software and Affected Versions** nvm versions 0.40.3 and below **Description** A command injection issue exists in nvm (Node Version Manager). The `nvm download()` function utilizes `eval` to execute `wget` commands. The `NVM AUTH HEADER` environment variable was not properly sanitized when used in the `wget` code path. An attacker capable of setting environment variables within a victim’s shell environment—for example, through malicious CI/CD configurations, compromised dotfiles, or Docker images—can inject arbitrary shell commands. These commands will execute when the victim runs nvm commands that initiate downloads, such as 'nvm install' or 'nvm ls-remote'. **Recommendations** Update nvm to a version newer than 0.40.3.