Joohoi

**Nome do software vulnerável e versões afetadas: Versões do HedgeDoc anteriores à 1.5.0 Descrição: A vulnerabilidade afeta o HedgeDoc, um editor colaborativo de Markdown de código aberto, no qual um invasor pode obter arquivos arbitrários do sistema de arquivos ao exportar uma nota para PDF. Essa exploração requer que o invasor tenha a capacidade de modificar uma nota e afeta todas as instâncias com a exportação para PDF habilitada. O impacto é significativo, pois o invasor pode ler o arquivo `config.json` do HedgeDoc e outros arquivos no sistema de arquivos, potencialmente acessando informações confidenciais, credenciais de banco de dados e segredos OAuth. Recomendações: Para versões anteriores à 1.5.0, atualize para a versão 1.5.0 para resolver o problema. Como solução alternativa temporária, considere iniciar a instância do HedgeDoc com `CMD ALLOW PDF EXPORT=false` ou defina `“allowPDFExport”: false` no arquivo `config.json` para mitigar este problema.

**Nome do software vulnerável e versões afetadas** Versões do TileServer GL anteriores à 3.0.0 **Descrição** Foi detectada uma falha no arquivo `server.js`, na qual o conteúdo do parâmetro GET `key` é refletido sem sanitização na resposta HTTP da página principal do aplicativo, causando um ataque XSS refletido. **Recomendações** Para versões anteriores à 3.0.0, atualize para a versão 3.0.0 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso ao arquivo `server.js` ou sanitizar o parâmetro GET `key` para minimizar o risco de exploração.