Lambdasawa

**Nome do Software Vulnerável e Versões Afetadas** Versões do httparty anteriores à 0.23.2 **Descrição** O httparty está suscetível a uma condição de Falsificação de Requisição no Lado do Servidor (SSRF) nas versões 0.23.2 e anteriores. Este problema pode levar à divulgação de chaves de API e permitir requisições não autorizadas a servidores internos. **Recomendações** Atualize para uma versão do httparty posterior à 0.23.2.

**Nome do Software Vulnerável e Versões Afetadas** Versões da gem URI anteriores a 0.11.3 Versões da gem URI de 0.12.0 a 0.12.3 Versões da gem URI de 0.13.0 a 0.13.1 Versões da gem URI de 1.0.0 a 1.0.2 **Descrição** Os métodos de manipulação de URI (`URI.join`, `URI#merge`, `URI#+`) na gem URI para Ruby possuem um vazamento inadvertido de credenciais de autenticação, pois o userinfo é mantido mesmo após a alteração do host. Isso pode resultar em um vazamento não intencional de userinfo ao gerar uma URL para um host malicioso a partir de uma URL contendo userinfo secreto utilizando esses métodos. **Recomendações** Para versões da gem URI anteriores a 0.11.3, atualize para a versão 0.11.3 ou posterior. Para versões da gem URI de 0.12.0 a 0.12.3, atualize para a versão 0.12.4 ou posterior. Para versões da gem URI de 0.13.0 a 0.13.1, atualize para a versão 0.13.2 ou posterior. Para versões da gem URI de 1.0.0 a 1.0.2, atualize para a versão 1.0.3 ou posterior. Como solução temporária, considere evitar o uso dos métodos `URI#join`, `URI#merge` e `URI#+` até que uma correção esteja disponível.

Nome do Software Vulnerável e Versões Afetadas: axios versões 1.0.0 através de 1.8.1 Bamboo Data Center e Server versões 9.6.1 através de 11.0.0 Descrição: Uma vulnerabilidade de Server-Side Request Forgery (SSRF) existe no axios ao lidar com URLs absolutas em vez de URLs relativas ao protocolo. Mesmo com um `baseURL` configurado, o axios pode enviar solicitações para a URL absoluta especificada, potencialmente levando a SSRF e vazamento de credenciais. Isso afeta o uso tanto do lado do servidor quanto do lado do cliente. A vulnerabilidade permite que invasores acessem recursos de rede internos e potencialmente acessem credenciais confidenciais. Milhões de sistemas podem ser afetados. Recomendações: Atualize o axios para a versão 1.8.2 ou posterior. Bamboo Data Center e Server 9.6: Atualize para uma versão maior ou igual a 9.6.20. Bamboo Data Center e Server 10.2: Atualize para uma versão maior ou igual a 10.2.12. Bamboo Data Center e Server 11.0: Atualize para uma versão maior ou igual a 11.0.8.