Liyuan Chen

**Nome do software vulnerável e versões afetadas** Versões do Pillow de 5.2.0 a 8.3.2 Versões do Pillow anteriores à 8.3.2 **Descrição** O problema está relacionado a uma negação de serviço por expressão regular (ReDoS) por meio da função `getrgb`, o que pode levar ao consumo descontrolado de recursos. Isso permite que um invasor remoto cause uma negação de serviço. **Recomendações** Para as versões do Pillow 5.2.0 a 8.3.2, atualize para uma versão posterior à 8.3.2 para resolver o problema. Para as versões do Pillow anteriores à 8.3.2, atualize para uma versão posterior à 8.3.2 para resolver o problema. Como solução temporária, considere desativar a função `getrgb` até que um patch esteja disponível.

**Nome do software vulnerável e versões afetadas: três versões anteriores à 0.125.0 Descrição: Este problema afeta o tratamento de cores RGB ou HSL. Uma prova de conceito (PoC) demonstra o impacto ao criar uma longa sequência de espaços dentro de uma definição de cor RGB, o que pode ser usado para medir o tempo necessário para processar tal entrada. O código PoC define uma função `build blank(n)` que gera uma sequência de `n` espaços dentro de uma sequência de cor rgb e, em seguida, mede o tempo necessário para criar um novo objeto `Color` com essa sequência. Recomendações: Para versões anteriores à 0.125.0, considere atualizar para a versão 0.125.0 ou posterior para resolver o problema. Como solução alternativa temporária, considere restringir o tratamento de cores RGB ou HSL para evitar possíveis explorações. Evite usar a função `Color` com entradas não confiáveis até que o problema seja resolvido. No momento, não há informações sobre medidas de mitigação adicionais.

**Nome do software vulnerável e versões afetadas** Versões do lodash anteriores à 4.17.21 **Descrição** O problema está relacionado às funções `toNumber`, `trim` e `trimEnd` na biblioteca lodash, que podem levar a um consumo descontrolado de recursos, potencialmente causando uma negação de serviço. Isso pode ser explorado por um invasor remoto. A vulnerabilidade é um problema de negação de serviço por expressão regular (ReDoS). **Recomendações** Para versões anteriores à 4.17.21, atualize para a versão 4.17.21 ou posterior para resolver o problema. Como solução temporária, considere desativar as funções `toNumber`, `trim` e `trimEnd` até que um patch esteja disponível. Restrinja o uso dessas funções para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Versões do trim anteriores à 0.0.3 trim (versões afetadas não especificadas, mas todas as versões são mencionadas como vulneráveis em algumas fontes) **Descrição** O problema está relacionado à função `trim()` no pacote trim, que é vulnerável a um ataque de negação de serviço por expressão regular (ReDoS). Essa vulnerabilidade pode ser explorada por um invasor remoto para causar uma negação de serviço. A vulnerabilidade está associada ao consumo descontrolado de recursos. **Recomendações** Para versões anteriores à 0.0.3, atualize para a versão 0.0.3 ou posterior. Para outras versões afetadas, no momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade. Como solução temporária, considere desativar a função `trim()` até que um patch esteja disponível.