Keerok

**Nome do software vulnerável e versões afetadas** Simple-Plist versão 1.3.0 **Descrição** O problema está relacionado a uma vulnerabilidade de contaminação de protótipos. Essa vulnerabilidade pode ser explorada por meio da função `parse()`. **Recomendações** Para o Simple-Plist versão 1.3.0, considere evitar o uso da função `parse()` até que uma correção esteja disponível. Como solução temporária, restrinja a entrada na função `parse()` para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Versões do Plist anteriores à 3.0.4 **Descrição** A falha permite que invasores provoquem uma negação de serviço (DoS) e pode levar à execução remota de código por meio de uma vulnerabilidade de contaminação de protótipo na função `.parse()`. **Recomendações** Para versões anteriores à 3.0.4, atualize para a versão 3.0.4 ou posterior para resolver o problema. Como solução temporária, considere restringir o uso da função `.parse()` até que um patch esteja disponível.

**Nome do software vulnerável e versões afetadas** Versões do matrix-react-sdk anteriores à 3.15.0 **Descrição** A área de isolamento de conteúdo do usuário no matrix-react-sdk pode ser explorada para induzir os usuários a abrir documentos inesperados. Isso é feito por meio de várias interações do usuário, permitindo que o conteúdo seja aberto com uma origem `blob`. No entanto, observa-se que o conteúdo aberto dessa maneira não pode acessar os dados do usuário do Matrix, portanto, mensagens e segredos não estão em risco. **Recomendações** Para versões anteriores à 3.15.0, atualize para a versão 3.15.0 para resolver o problema. Como solução temporária, considere restringir as interações do usuário que possam levar ao abuso da sandbox de conteúdo do usuário até que a atualização seja aplicada.

**Name of the Vulnerable Software and Affected Versions** E-Sic version 1.0 **Description** The issue allows SQL injection via the `q` parameter to the "esiclivre/restrito/inc/lkpcep.php" endpoint, which is related to the search private area. **Recommendations** For E-Sic version 1.0, consider restricting access to the "esiclivre/restrito/inc/lkpcep.php" endpoint to minimize the risk of exploitation. Avoid using the `q` parameter in this endpoint until the issue is resolved. At the moment, there is no information about a newer version that contains a fix for this vulnerability.