Kodareef5

**Nome do Software Vulnerável e Versões Afetadas** authentik versões anteriores a 2025.12.5 authentik versões anteriores a 2026.2.3 **Description** O processador de resposta da fonte SAML `ResponseProcessor.parse()` não valida o elemento Conditions em asserções. Especificamente, `NotBefore`, `NotOnOrAfter` e `AudienceRestriction` são ignorados, o que permite a repetição de asserções expiradas e a aceitação de asserções destinadas a outros provedores de serviço. **Recommendations** Atualize para a versão 2025.12.5. Atualize para a versão 2026.2.3.

**Nome do Software Vulnerável e Versões Afetadas** Cilium versões anteriores a 1.17.15 Cilium versões 1.18.0 a 1.18.8 Cilium versões 1.19.0 a 1.19.2 **Description** Quando executada em implantações com criptografia WireGuard habilitada, a saída da ferramenta de depuração `cilium-bugtool` pode conter dados sensíveis. Especificamente, a chave privada WireGuard `cilium wg0.key`, utilizada para comunicação criptografada entre nós, pode ser exposta. Esta ferramenta é normalmente invocada manualmente ou durante a coleta de sysdumps através do comando `cilium sysdump`. **Recommendations** Atualizar para a versão 1.17.15 para versões anteriores a 1.17.15. Atualizar para a versão 1.18.9 para versões 1.18.0 a 1.18.8. Atualizar para a versão 1.19.3 para versões 1.19.0 a 1.19.2. Rotacionar as chaves WireGuard nos nós afetados, excluindo o arquivo de chave e reiniciando o agente Cilium para gerar um novo par de chaves, caso arquivos do bugtool ou sysdump tenham sido compartilhados.

**Nome do Software Vulnerável e Versões Afetadas** Traefik versões anteriores a 2.11.43 Traefik versões anteriores a 3.6.14 Traefik versões anteriores a 3.7.0-rc.2 **Descrição** Um problema de canal lateral de tempo existe no middleware BasicAuth. Uma variável destinada a fornecer um segredo de fallback de tempo constante resolve-se consistentemente para uma string vazia, o que faz com que a comparação de tempo constante seja interrompida rapidamente em vez de realizar uma avaliação bcrypt completa. Isso cria um oráculo de tempo, permitindo que um invasor enumere nomes de usuário válidos medindo as diferenças nos tempos de resposta de autenticação. **Recomendações** Atualizar para a versão 2.11.43 Atualizar para a versão 3.6.14 Atualizar para a versão 3.7.0-rc.2

**Name of the Vulnerable Software and Affected Versions** Contour versões 1.19.0 até 1.31.5 Contour versões 1.32.0 até 1.32.4 Contour versões 1.33.0 até 1.33.3 **Description** O recurso de Cookie Rewriting está suscetível à injeção de código Lua. Um invasor com permissões de RBAC para criar ou modificar recursos HTTPProxy pode fornecer valores maliciosos nas variáveis `spec.routes[].cookieRewritePolicies[].pathRewrite.value` ou `spec.routes[].services[].cookieRewritePolicies[].pathRewrite.value`, resultando na execução de código arbitrário no proxy Envoy. Isso ocorre porque valores controlados pelo usuário são interpolados no código-fonte Lua usando Go text/template sem a sanitização suficiente. Embora o código injetado seja executado apenas na própria rota do invasor, ele pode ser usado para ler credenciais de cliente xDS do Envoy no sistema de arquivos — expondo potencialmente certificados TLS e chaves privadas de outros locatários — ou causar a negação de serviço para outros locatários que compartilham a instância do Envoy. **Recommendations** Atualizar para a versão 1.31.6. Atualizar para a versão 1.32.5. Atualizar para a versão 1.33.4.

**Name of the Vulnerable Software and Affected Versions** DOMPurify versões anteriores a 3.4.0 **Description** Existe uma inconsistência entre o processamento de `FORBID TAGS` e `FORBID ATTR` quando a configuração `ADD TAGS` baseada em função é utilizada. Especificamente, quando a função `EXTRA ELEMENT HANDLING.tagCheck` retorna verdadeiro, ocorre uma avaliação de curto-circuito que ignora a verificação de `FORBID TAGS`. Isso permite que elementos proibidos, como `iframe`, `object`, `embed` e `form`, ignorem a sanitização e permaneçam na saída com seus atributos intactos. **Recommendations** Atualizar para a versão 3.4.0.

**Name of the Vulnerable Software and Affected Versions** Tekton Pipelines versões 1.0.0 até 1.10.x **Description** O resolvedor git não valida o parâmetro `revision`, que é passado diretamente como um argumento posicional para o comando `git fetch`. Isso permite que um invasor injete flags arbitrárias, como `--upload-pack=<binary>`. Além disso, a função `validateRepoURL` permite URLs que começam com `/`, possibilitando o uso de caminhos do sistema de arquivos local. Um locatário capaz de enviar objetos `ResolutionRequest` pode combinar esses comportamentos para executar binários arbitrários no pod do resolvedor. Como a ServiceAccount `tekton-pipelines-resolvers` possui permissões de `get`, `list` e `watch` em todos os Secrets em nível de cluster, isso pode levar à exfiltração total de segredos de todo o cluster. **Recommendations** Atualize para a versão 1.11.1.

**Name of the Vulnerable Software and Affected Versions** Tekton Pipelines versões anteriores a 1.11.1 **Description** Uma falha de validação na restrição de caminho do VolumeMount permite a montagem de volumes em caminhos internos restritos '/tekton/' usando componentes de travessia de caminho '..'. A verificação de restrição utiliza a função `strings.HasPrefix` sem aplicar o `filepath.Clean`, o que significa que um caminho como '/tekton/home/../results' passa na validação, mas é resolvido como '/tekton/results' em tempo de execução. Isso ocorre porque '/tekton/home' é um prefixo permitido, permitindo que a travessia ignore a verificação. Este problema existe nos arquivos `container validation.go` e `task validation.go`. Um usuário autenticado com permissões de criação de Task ou TaskRun pode explorar isso para gravar resultados de tarefas falsos, ler ou modificar scripts de etapa antes da execução ou interferir no estado de coordenação do ponto de entrada. **Recommendations** Atualizar para a versão 1.11.1. Utilizar controladores de admissão, como OPA/Gatekeeper ou Kyverno, para validar que os caminhos do VolumeMount não contenham componentes '..'. Restringir as permissões para criar recursos de Task e TaskRun via RBAC em ambientes multi-tenant.

**Name of the Vulnerable Software and Affected Versions** Statamic versões anteriores a 5.73.20 Statamic versões anteriores a 6.13.0 **Description** A manipulação de parâmetros de consulta em endpoints do Painel de Controle e da API REST, ou argumentos em consultas GraphQL, pode resultar na perda de conteúdo, ativos e contas de usuário. A exploração via Painel de Controle requer autenticação com permissões mínimas, como a permissão "view entries" para excluir entradas ou a permissão "view users" para excluir usuários. As explorações direcionadas às APIs REST e GraphQL não requerem permissões, porém essas APIs não são habilitadas por padrão; elas precisariam ser explicitamente habilitadas sem autenticação configurada e com os recursos específicos habilitados para serem exploradas. **Recommendations** Atualizar para a versão 5.73.20 Atualizar para a versão 6.13.0

**Name of the Vulnerable Software and Affected Versions** OAuth2 Proxy versões anteriores a 7.15.2 **Description** Existe um bypass de autorização na opção de imposição `email domain`. Um invasor pode se autenticar usando um claim de e-mail malformado, como `attacker@evil.com@company.com`, para satisfazer uma verificação de domínio permitido para `company.com`. Este problema afeta especificamente implementações que dependem de restrições de `email domain` e que aceitam valores de claim de e-mail de provedores de identidade ou mapeamentos de claim que não impõem rigorosamente a sintaxe normal de e-mail. O risco está presente principalmente em ambientes OIDC auto-hospedados ou personalizados e configurações federadas onde valores de claim inesperados podem chegar ao proxy. **Recommendations** Atualize para a versão 7.15.2 ou posterior. Certifique-se de que o provedor de identidade configurado não possa emitir valores de claim de e-mail malformados ou controlados por invasores.

**Nome do Software Vulnerável e Versões Afetadas** External Secrets Operator versões anteriores a 2.3.0 **Descrição** O mecanismo de template v2 em `runtime/template/v2/template.go` remove `env` e `expandenv` do `TxtFuncMap()`, mas deixa a função `getHostByName()` acessível para templates controlados pelo usuário. Como o controlador executa templates dentro de seu próprio processo, um invasor capaz de criar ou atualizar recursos ExternalSecret com templates pode disparar consultas DNS no lado do controlador usando valores derivados de segredos. Isso cria um primitivo de exfiltração de DNS, permitindo que materiais de segredos recuperados sejam vazados via consultas DNS sem exigir acesso direto à rede externa a partir da carga de trabalho do invasor. Isso resulta em um problema de confidencialidade em ambientes onde usuários de menor confiança podem criar esses recursos e o controlador possui capacidade de resolução de DNS. **Recomendações** Atualizar para a versão 2.3.0. Restringir a capacidade de usuários não confiáveis ou de menor confiança de criar ou atualizar recursos ExternalSecret com templates.

File Browser versões anteriores a 2.63.1 Descrição: File Browser é uma interface de gerenciamento de arquivos. Antes da versão 2.63.1, uma correção destinada a restringir permissões de execução para usuários auto-registrados não foi aplicada ao manipulador de autenticação proxy. Isso permitiu que usuários criados automaticamente no primeiro login de autenticação proxy bem-sucedido herdassem capacidades de execução das configurações globais, violando uma invariante de segurança. Esta questão é uma correção incompleta para um problema anterior em que o registro concedia permissões de execução quando as permissões padrão incluíam execução. A vulnerabilidade está relacionada à aplicação de configurações padrão na função `createUser()` em `auth/proxy.go`, onde as restrições à permissão `Execute` e `Commands` estavam faltando em comparação com o manipulador de registro. Endpoint da API: /api/login. Parâmetros vulneráveis: `username`. Nome da função: `createUser()`. Recomendações: Atualize para a versão 2.63.1 ou posterior do File Browser.

Name of the Vulnerable Software and Affected Versions: File Browser versões anteriores a 2.63.1 Description: File Browser é uma interface de gerenciamento de arquivos. Em versões anteriores a 2.63.1, quando um administrador revoga as permissões de Compartilhamento e Download de um usuário, os links de compartilhamento existentes criados por esse usuário permanecem acessíveis a usuários não autenticados. O manipulador de download de compartilhamento público não verifica novamente as permissões atuais do proprietário do compartilhamento. Isso permite que usuários não autenticados acessem arquivos por meio de links de compartilhamento existentes, mesmo depois que as permissões do proprietário foram revogadas. A vulnerabilidade existe porque a função de acesso ao compartilhamento não valida as permissões de Compartilhamento e Download do usuário, ao contrário da função de criação de compartilhamento. O endpoint da API ''/api/public/dl/{hash}'' é afetado, onde `{hash}` representa o hash do link de compartilhamento. O parâmetro vulnerável é o próprio hash do link de compartilhamento, pois permite o acesso sem as verificações de permissão adequadas. A função `withHashFile` é responsável por lidar com o acesso ao compartilhamento e não possui a validação de permissão necessária. Recommendations: Atualize o File Browser para a versão 2.63.1 ou posterior.

Name of the Vulnerable Software and Affected Versions File Browser versões anteriores a 2.63.1 Description File Browser é uma interface de gerenciamento de arquivos para upload, exclusão, visualização, renomeação e edição de arquivos dentro de um diretório especificado. A função `Matches()` em rules/rules.go usa `strings.HasPrefix()` sem um separador de diretório final ao corresponder caminhos a regras de acesso. Uma regra para /uploads também corresponde a /uploads backup/, concedendo ou negando acesso a diretórios não intencionais. Recommendations Atualize para a versão 2.63.1 ou posterior.

Name of the Vulnerable Software and Affected Versions File Browser versões anteriores a 2.63.1 Description File Browser é uma interface de gerenciamento de arquivos para upload, exclusão, visualização, renomeação e edição de arquivos dentro de um diretório especificado. O `resourceGetHandler` em http/resource.go retorna o conteúdo completo do arquivo de texto sem verificar o sinalizador de permissão `Perm.Download`. Os endpoints `/api/raw`, `/api/preview` e `/api/subtitle` verificam corretamente esta permissão antes de servir o conteúdo. Um usuário com `download: false` pode ler qualquer arquivo de texto dentro de seu escopo por meio de caminhos de contorno. Recommendations Atualize para a versão 2.63.1 ou posterior.

Name of the Vulnerable Software and Affected Versions Cosign versões anteriores a 3.0.6 e anteriores a 2.6.3 Description Cosign, uma ferramenta para assinatura de código e transparência para contêineres e binários, apresentava uma falha em `verify-blob-attestation` onde poderia relatar incorretamente uma verificação bem-sucedida (“Verified OK”) para atestações contendo cargas úteis malformadas ou tipos de predicado incompatíveis. Isso ocorreu devido a um erro de lógica na validação do tipo de predicado para formatos de pacote mais antigos e uma ignorância completa da validação do tipo de predicado para formatos de pacote mais recentes. Recommendations Atualize para a versão 3.0.6 ou posterior. Atualize para a versão 2.6.3 ou posterior.

**Nome do Software Vulnerável e Versões Afetadas** pyLoad (versões afetadas não especificadas) **Descrição** pyLoad, um gerenciador de downloads de código aberto escrito em Python, possui uma falha onde um usuário com permissões SETTINGS e ADD pode redirecionar downloads para o armazenamento de sessão do sistema de arquivos Flask. Isso permite plantar um payload pickle malicioso como um arquivo de sessão previsível, acionando a execução arbitrária de código quando qualquer solicitação HTTP chegar com o cookie de sessão correspondente. A vulnerabilidade decorre da opção `storage folder` não estar incluída no conjunto `ADMIN ONLY OPTIONS`, ignorando as restrições de caminho. O diretório de sessão do Flask está fora dos caminhos restritos (PKGDIR e userdir). Esta é uma correção incompleta para um problema anterior. A vulnerabilidade permite a gravação arbitrária de arquivos no armazenamento de sessão do Flask, levando à execução remota de código (RCE). O gatilho de RCE não é autenticado. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

Nome do Software Vulnerável e Versões Afetadas: pyLoad versões 0.5.0b3.dev96 e anteriores Descrição: pyLoad contém uma vulnerabilidade de falsificação de solicitação do lado do servidor (SSRF). A correção inicial para CVE-2026-33992 adicionou validação de IP à URL de download inicial, mas os redirecionamentos HTTP não são validados. Um usuário autenticado com permissão ADD pode ignorar a correção SSRF enviando uma URL que redireciona para um endereço interno. A vulnerabilidade permite o acesso a endpoints de metadados de nuvem, serviços de rede interna e serviços localhost. A função `BaseDownloader.download()` e a classe `HTTPRequest` estão envolvidas na vulnerabilidade. A opção `FOLLOWLOCATION` no pycurl está definida como 1 e `MAXREDIRS` está definida como 10, habilitando o acompanhamento automático de redirecionamentos. A opção `REDIR PROTOCOLS` não é restrita, permitindo redirecionamentos para qualquer protocolo. A verificação SSRF valida apenas a URL inicial e os destinos de redirecionamento ignoram completamente o filtro. Recomendações: Desative o acompanhamento automático de redirecionamentos em `HTTPRequest. init ()` definindo `self.c.setopt(pycurl.FOLLOWLOCATION, 0)`. Implemente o acompanhamento manual de redirecionamentos na lógica de download com validação SSRF em cada etapa. Alternativamente, restrinja os protocolos de redirecionamento definindo `self.c.setopt(pycurl.REDIR PROTOCOLS, pycurl.PROTO HTTP | pycurl.PROTO HTTPS)` e adicione um callback pycurl para validar os IPs de destino do redirecionamento antes de seguir.

**Nome do Software Vulnerável e Versões Afetadas** BentoML versões anteriores a 1.4.38 **Descrição** O BentoML contém uma vulnerabilidade de execução remota de código (RCE) no caminho de implantação em nuvem dentro de `src/bentoml/ internal/cloud/deployment.py`. Especificamente, a linha 1648 interpola `system packages` diretamente em um comando shell usando uma f-string sem aspas adequadas. Isso permite a injeção de comandos quando o script gerado, `setup.sh`, é carregado no BentoCloud e executado durante a implantação. A vulnerabilidade surge porque a correção implementada no commit ce53491, que adicionou `shlex.quote` a outras áreas do código, não foi aplicada a este caminho específico. Os valores de `system packages` do `bentofile.yaml` são unidos com espaços e interpolados diretamente no comando `apt-get install`, permitindo que um invasor injete comandos arbitrários. Uma prova de conceito demonstra que um `bentofile.yaml` malicioso pode ser criado para exfiltrar o nome do host da infraestrutura de construção. Isso pode levar a ataques na cadeia de suprimentos, ameaças internas ou comprometimento mais amplo do CI/CD. **Recomendações** Atualize para a versão 1.4.38 ou posterior do BentoML.

Nome do Software Vulnerável e Versões Afetadas Versões do Dgraph anteriores a 25.3.1 Descrição Dgraph é vulnerável a uma falha de bypass de autenticação na mutação 'restoreTenant' de administração. Essa mutação carece de middleware de autorização adequado, permitindo que atacantes não autenticados sobrescrevam todo o banco de dados, leiam arquivos do lado do servidor e executem Server-Side Request Forgery (SSRF). A vulnerabilidade permite que os atacantes aproveitem URLs de origem de backup controladas por atacantes, incluindo 'file://' para acesso ao sistema de arquivos local, e credenciais S3/MinIO. A exploração pode levar à perda completa de dados, exfiltração de dados e possível comprometimento total do sistema. A mutação 'restoreTenant' aceita URLs de origem de backup controladas por atacantes (incluindo file:// para acesso ao sistema de arquivos local), credenciais S3/MinIO, caminhos de arquivo de chave de criptografia e caminhos de arquivo de credenciais do Vault. O endpoint da API ''/admin'' é afetado. Parâmetros vulneráveis incluem o parâmetro `location` para URLs de backup, `accessKey`, `secretKey`, `vaultAddr`, `vaultRoleIDFile` e `vaultSecretIDFile`. Recomendações Atualize para a versão 25.3.1 ou posterior. Isole os endpoints de administração do Dgraph do acesso público à internet e restrinja o acesso a IPs confiáveis. Monitore e bloqueie as solicitações 'restoreTenant' na camada de rede/WAF. Rotacione as credenciais expostas e inspecione/restaure a partir de backups offline conhecidos. Restrinja a saída para bloquear SSRF para metadados/endpoints internos. Habilite o registro de auditoria centralizado.

Nome do Software Vulnerável e Versões Afetadas OneUptime versões anteriores a 10.0.42 Descrição OneUptime, uma plataforma de monitoramento e observabilidade de código aberto, possuía múltiplos endpoints de API de notificação registrados sem middleware de autenticação. Isso permitia que um invasor não autenticado comprasse potencialmente números de telefone na conta Twilio da vítima e excluísse números de alerta existentes. O problema decorreu da falta de verificação de autenticação nos endpoints `/notification/`, enquanto outros endpoints usavam corretamente a autenticação. Um vazamento de `projectId` da API pública da Página de Status contribuiu para a explorabilidade. Recomendações Atualize para a versão 10.0.42 ou posterior.