Kuycheu Kung

**Nome do Software Vulnerável e Versões Afetadas** simple-git versões anteriores a 3.36.0 **Descrição** Um problema de Execução Remota de Código (RCE) existe na biblioteca simple-git para Node.js devido ao gerenciamento incorreto da geração de código e a uma correção incompleta de uma falha anterior. O problema ocorre porque a opção `--config` não foi adequadamente bloqueada, enquanto a opção `-c` foi. Se entradas não confiáveis atingirem o argumento `options`, um invasor remoto pode injetar configurações arbitrárias do git, como habilitar `protocol.ext.allow=always` e usar uma fonte de clonagem `ext::`, para executar código arbitrário na máquina hospedeira. Esta exploração não requer autenticação ou interação do usuário. **Recomendações** Atualize para a versão 3.36.0 ou posterior.

**Nome do Software Vulnerável e Versões Afetadas** FormCms versão 0.5.5 **Descrição** O FormCms versão 0.5.5 contém uma vulnerabilidade de cross-site scripting (XSS) armazenado na funcionalidade de upload de avatar. Usuários autenticados podem enviar arquivos `.html` contendo JavaScript malicioso, que ficam acessíveis através de uma URL pública. Quando um usuário privilegiado acessa o arquivo, o script é executado no contexto do navegador dele. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.