Karussell

**Nome do software vulnerável e versões afetadas** com.graphhopper:graphhopper-web-bundle versões anteriores à 3.2 com.graphhopper:graphhopper-web-bundle versões 4.0-pre1 a 4.0 **Descrição** A vulnerabilidade afeta o analisador de URL, que pode ser induzido a adicionar ou modificar propriedades de `Object.prototype` usando um construtor ou uma carga útil ` proto `. **Recomendações** Para versões anteriores à 3.2, atualize para a versão 3.2 ou posterior. Para versões 4.0-pre1 a 4.0, atualize para uma versão posterior à 4.0.

**Nome do software vulnerável e versões afetadas: GraphHopper, versões 2.0 a 2.3 Descrição: O problema está relacionado a uma injeção de expressão regular que pode levar a uma negação de serviço. Não há informações sobre o número estimado de dispositivos potencialmente afetados em todo o mundo nem sobre incidentes reais em que essa vulnerabilidade tenha sido explorada. Recomendações: Para as versões 2.0 a 2.3 do GraphHopper, atualize para a versão 2.4 ou 3.0 para resolver o problema. Para versões anteriores à 2.x com o módulo de navegação adicionado, atualize para a versão 2.4 ou 3.0 para resolver o problema. Como solução temporária, considere desativar o módulo de navegação em versões anteriores à 2.x até que um patch esteja disponível.