Lixts

Nome do Software Vulnerável e Versões Afetadas: Versões da biblioteca ch-go anteriores a 0.65.0 Descrição: O problema ocorre quando a biblioteca ch-go é utilizada sob uma condição específica em que a consulta inclui dados externos maliciosos, grandes e não compactados. Isso permite que um invasor com controle sobre tais dados contrabandeie outro pacote de consulta no fluxo da conexão. Recomendações: Atualize para pelo menos a versão 0.65.0 para resolver o problema. Como medida temporária, considere restringir o uso de dados externos grandes e não compactados em consultas até que a atualização seja aplicada.

**Nome do software vulnerável e versões afetadas** Versões do TypeORM anteriores à 0.3.0 **Descrição** A função `findOne` no TypeORM pode receber como parâmetro uma string ou um objeto `FindOneOptions`. Quando a entrada para a função é um objeto JSON analisado e controlado pelo usuário, fornecer um objeto `FindOneOptions` malicioso em vez de uma string de identificação leva a uma injeção de SQL. A posição do fornecedor é que a aplicação do usuário é responsável pela validação da entrada. **Recomendações** Para versões do TypeORM anteriores à 0.3.0, certifique-se de que a entrada para a função `findOne` seja devidamente validada para evitar injeção de SQL. Como solução temporária, considere validar a entrada para garantir que seja uma string ou um objeto `FindOneOptions` devidamente formatado antes de passá-la para a função `findOne`. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.