Jub0Bs

**Nome do Software Vulnerável e Versões Afetadas** Grafana-Zabbix versões 5.2.1 e anteriores **Descrição** O Grafana-Zabbix é um plugin para o Grafana que visualiza dados de monitoramento do Zabbix. As versões 5.2.1 e anteriores contêm uma vulnerabilidade de Negação de Serviço por Expressão Regular (ReDoS). Este problema ocorre devido a uma consulta de expressão regular fornecida pelo usuário, que pode causar uso máximo da CPU. **Recomendações** Atualize para a versão 6.0.0 ou posterior.

**Nome do Software Vulnerável e Versões Afetadas** O nome do produto não pode ser determinado. **Descrição** Existe um problema no qual um atacante pode enviar um token malformado malicioso, causando consumo inesperado de memória durante a análise. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** Versões do Golang 1.15 e 1.19 **Descrição** Existe uma falha na funcionalidade de processamento de cookies do pacote net/http. A falta de limites durante o processamento de cookies pode levar ao consumo excessivo de memória, potencialmente resultando em exaustão de memória. **Recomendações** Atualize para uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** Pacote Go net/url (versões afetadas não especificadas) **Descrição** O pacote net/url não limita o número de parâmetros de consulta, podendo levar a um consumo excessivo de memória ao analisar formulários codificados em URL grandes com muitos parâmetros de consulta únicos usando o método net/http.Request.ParseForm. Isso pode resultar em esgotamento de memória. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** Middleware (versões afetadas não especificadas) **Descrição** O middleware sofre alocações excessivas de heap ao processar requisições preflight maliciosas contendo um grande número de vírgulas no cabeçalho Access-Control-Request-Headers (ACRH). Isso pode levar a uma sobrecarga indevida no middleware/servidor, potencialmente resultando em uma negação de serviço. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Versões do Grafana anteriores à versão corrigida **Descrição** O problema está relacionado a uma vulnerabilidade de falsificação de solicitação entre sites (CSRF) que permite que invasores elevem seus privilégios ao lançar ataques entre origens contra usuários autenticados do Grafana com privilégios elevados, como Editores ou Administradores. Um invasor pode explorar essa vulnerabilidade para escalar privilégios, induzindo um usuário autenticado a convidá-lo como um novo usuário com privilégios elevados. **Recomendações** Atualize para uma versão que contenha uma correção para este problema o mais rápido possível. Como solução temporária, considere restringir a capacidade dos usuários autenticados de convidar novos usuários com privilégios elevados até que um patch esteja disponível. Evite usar recursos que permitam convidar novos usuários com privilégios elevados nas versões afetadas do Grafana até que o problema seja resolvido.