Justinsteven

**Nome do software vulnerável e versões afetadas** github.com/containrrr/shoutrrr/pkg/util versões anteriores à 0.6.0 **Descrição** O problema está relacionado a um ataque de Negação de Serviço (DoS) que pode ser acionado por meio da função `util.PartitionMessage` ao enviar mensagens com exatamente 2.000, 4.000 ou 6.000 caracteres. Isso pode causar um erro grave ao enviar tal mensagem para o Discord. **Recomendações** Para versões anteriores à 0.6.0, atualize para a versão 0.6.0 ou posterior para resolver o problema. Como solução temporária, considere desativar a função `util.PartitionMessage` até que um patch esteja disponível. Evite enviar mensagens com exatamente 2000, 4000 ou 6000 caracteres para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Versões do check-spelling anteriores à v0.0.19 **Descrição** O problema está relacionado à exposição do `GITHUB TOKEN` na ação do GitHub do check-spelling, que pode ser acionada por uma solicitação de pull (Pull Request) maliciosa. Essa exposição permite que um invasor envie commits para o repositório, contornando os processos de aprovação padrão, e potencialmente roube segredos disponíveis no repositório. O número estimado de dispositivos potencialmente afetados em todo o mundo não foi fornecido. Não há informações sobre incidentes reais em que esse problema tenha sido explorado. **Recomendações** Para resolver o problema, os usuários podem: - Atualizar para a versão v0.0.19 ou posterior. - Desativar o fluxo de trabalho até que todos os ramos sejam corrigidos. - Configurar o repositório para Permitir ações específicas e adicionar explicitamente outras ações que o repositório utiliza. - Definir as permissões de fluxo de trabalho do repositório como “Ler conteúdo do repositório”. Para fluxos de trabalho que utilizam um SHA fixado ou uma versão marcada, altere os fluxos de trabalho afetados em todos os ramos do repositório para a versão mais recente. Como solução alternativa temporária, considere desativar o fluxo de trabalho vulnerável até que um patch esteja disponível. Restrinja o acesso ao módulo vulnerável para minimizar o risco de exploração. Evite usar o `GITHUB TOKEN` no endpoint da API afetado até que o problema seja resolvido.

**Nome do software vulnerável e versões afetadas** Estrutura Metasploit msfvenom (versões afetadas não especificadas) **Descrição** A vulnerabilidade permite que um usuário mal-intencionado crie e publique um arquivo capaz de executar comandos arbitrários na máquina da vítima, devido à forma como a estrutura Metasploit msfvenom da Rapid7 lida com arquivos APK. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas: Visual Studio Code (versões afetadas não especificadas) Descrição: Existe uma vulnerabilidade de execução remota de código quando um usuário é induzido a abrir um arquivo malicioso ‘package.json’. Um invasor que explorar essa vulnerabilidade com sucesso poderá executar código arbitrário no contexto do usuário atual. Se o usuário atual tiver direitos administrativos, o invasor poderá assumir o controle do sistema, instalar programas, visualizar, alterar ou excluir dados, ou criar novas contas com direitos de usuário completos. Para explorar essa vulnerabilidade, o invasor precisaria convencer um alvo a clonar um repositório e abri-lo no Visual Studio Code, executando o código especificado pelo invasor quando o arquivo ‘package.json’ malicioso for aberto. Recomendações: No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** fwupd (todas as versões) **Descrição** Foi encontrada uma falha de contorno de assinatura PGP, que poderia levar à instalação de firmware não assinado. A maior ameaça dessa vulnerabilidade é à confidencialidade e à integridade. É teoricamente possível, mas não prático, pois o Linux Vendor Firmware Service (LVFS) não está implementado ou habilitado nas versões do fwupd fornecidas com o Red Hat Enterprise Linux 7 e 8. Aproximadamente 500.000 endereços IP únicos estão afetados. **Recomendações** Como solução temporária, considere desativar o processo de verificação de assinatura até que um patch esteja disponível. Restrinja o acesso ao LVFS para minimizar o risco de exploração. Evite usar o fwupd até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Name of the Vulnerable Software and Affected Versions** rbenv (all current versions) **Description** The issue allows for Directory Traversal in the specification of Ruby version, resulting in arbitrary code execution. **Recommendations** At the moment, there is no information about a newer version that contains a fix for this vulnerability.