Knolleary

**Nome do software vulnerável e versões afetadas** Versões do fastify-swagger-ui anteriores à 2.1.0 **Descrição** A configuração padrão do `@fastify/swagger-ui`, sem a opção `baseDir` definida, faz com que todos os arquivos no diretório do módulo fiquem expostos por meio de rotas HTTP servidas pelo módulo. Esse problema foi corrigido na versão 2.1.0. Definir a opção `baseDir` também pode contornar esse problema. **Recomendações** Para versões anteriores à 2.1.0, atualize para a versão 2.1.0 para resolver o problema. Como solução temporária, considere definir a opção `baseDir` para minimizar a exposição.

**Nome do software vulnerável e versões afetadas: Node-RED versões 1.2.7 e anteriores Descrição: A vulnerabilidade permite o acesso arbitrário a diretórios através da API de Projetos. Se o recurso Projetos estiver ativado, um usuário com permissão `projects.read` pode acessar qualquer arquivo por meio da API de Projetos. A vulnerabilidade se aplica apenas ao recurso Projetos, que não vem ativado por padrão no Node-RED. Recomendações: Para as versões 1.2.7 e anteriores do Node-RED, atualize para o Node-RED 1.2.8 para resolver o problema. Como solução alternativa temporária, não conceda acesso de leitura ao editor do Node-RED a usuários não confiáveis.