Lpinca

**Nome do Software Vulnerável e Versões Afetadas** undici versões 6.17.0 até 6.25.x undici versões 7.0.0 até 7.27.x undici versões 8.0.0 até 8.4.x **Description** O cliente WebSocket não limita o número de fragmentos em uma mensagem, aplicando o `maxPayloadSize` apenas à contagem cumulativa de bytes. Um servidor malicioso pode enviar inúmeros quadros de continuação pequenos ou vazios que ignoram a validação por quadro e o tamanho cumulativo, resultando em crescimento ilimitado da memória, exaustão de memória e negação de serviço. Isso afeta aplicações que utilizam o cliente `new WebSocket(...)` ou a API WebSocketStream ao se conectarem a um endpoint comprometido ou controlado por um invasor. **Recommendations** Atualize para a versão 6.26.0 ou posterior para o ramo 6.x. Atualize para a versão 7.28.0 ou posterior para o ramo 7.x. Atualize para a versão 8.5.0 ou posterior para o ramo 8.x.

**Nome do software vulnerável e versões afetadas** Versões do url-parse anteriores à 1.5.7 **Descrição** A vulnerabilidade permite a contornar a autorização por meio de uma chave controlada pelo usuário. Uma URL especialmente criada com o símbolo ‘@’, mas com informações de usuário vazias e sem nome de host, quando analisada com o url-parse, retornará o href incorreto. Isso pode levar a decisões de segurança incorretas se os atributos ‘hostname’ ou ‘origin’ da saída do url-parse forem usados em decisões de segurança e o atributo ‘href’ final da saída for então usado para fazer uma solicitação. **Recomendações** Para versões anteriores à 1.5.7, atualize para a versão 1.5.7 ou posterior para resolver o problema. Como solução alternativa temporária, considere validar os atributos ‘hostname’ e ‘origin’ da saída do url-parse para garantir que correspondam aos valores esperados antes de usar o atributo ‘href’ para fazer uma solicitação. Restrinja o uso da função `parse()` com entradas não confiáveis até que o problema seja resolvido.