Man Yue Mo

**Name of the Vulnerable Software and Affected Versions** Sentry versions prior to 26.1.0 **Description** Sentry is a developer-first error tracking and performance monitoring tool. Versions prior to 26.1.0 have a cross-organization Insecure Direct Object Reference (IDOR) issue in the `GroupEventJsonView` endpoint. An Insecure Direct Object Reference occurs when an application uses user-supplied input to directly access objects, potentially allowing unauthorized access to data. **Recommendations** Update to version 26.1.0 or later.

Nome do Software Vulnerável e Versões Afetadas: Versões do Apache Doris anteriores a 2.1.8 Versões do Apache Doris anteriores a 3.0.3 Descrição: A falha permite que administradores da aplicação leiam arquivos arbitrários do sistema de arquivos do servidor através de path traversal, que é um tipo de vulnerabilidade conhecido como Limitação Imprópria de um Caminho de Arquivo para um Diretório Restrito. Isso pode ser explorado através da API REST. Recomendações: Para versões do Apache Doris anteriores a 2.1.8, atualize para a versão 2.1.8 ou posterior para corrigir a falha. Para versões do Apache Doris anteriores a 3.0.3, atualize para a versão 3.0.3 ou posterior para corrigir a falha. Como medida de contorno temporária, considere restringir o acesso à API REST para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Versões do Google Chrome anteriores à 124.0.6367.60 Microsoft Edge (versões afetadas não especificadas) **Descrição** O problema está relacionado à corrupção de objetos no WebAssembly, o que poderia permitir que um invasor remoto explorasse essa vulnerabilidade por meio de uma página HTML maliciosa. Isso se deve a um estouro de buffer na memória. O número estimado de dispositivos potencialmente afetados em todo o mundo não foi especificado. Não há informações sobre incidentes reais em que essa vulnerabilidade tenha sido explorada. **Recomendações** Para versões do Google Chrome anteriores à 124.0.6367.60, atualize para a versão 124.0.6367.60 ou posterior para resolver o problema. Para o Microsoft Edge, no momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Versões do Google Chrome anteriores à 124.0.6367.60 Microsoft Edge (versões afetadas não especificadas) **Descrição** O problema está relacionado à corrupção de objetos no mecanismo JavaScript V8 usado pelos navegadores Google Chrome e Microsoft Edge. Trata-se de uma vulnerabilidade de corrupção de memória que pode ser explorada por um invasor remoto por meio de uma página HTML especialmente criada, permitindo potencialmente a execução de código arbitrário. A gravidade desse problema é considerada alta. **Recomendações** Para versões do Google Chrome anteriores à 124.0.6367.60, atualize para a versão 124.0.6367.60 ou posterior para resolver o problema. Para o Microsoft Edge, no momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade. Como solução alternativa temporária, considere restringir o acesso a páginas HTML potencialmente vulneráveis ou desativar a execução de JavaScript em ambientes não confiáveis até que um patch esteja disponível.

**Name of the Vulnerable Software and Affected Versions** Google Chrome versions prior to 115.0.5790.170 **Description** The issue is related to a type confusion in the V8 JavaScript engine, which can potentially allow a remote attacker to exploit heap corruption via a crafted HTML page. This can lead to arbitrary code execution. The Chromium security severity of this issue is High. **Recommendations** For Google Chrome versions prior to 115.0.5790.170, update to version 115.0.5790.170 or later to resolve the issue. As a temporary workaround, consider avoiding the use of crafted HTML pages that could trigger the type confusion vulnerability in the V8 engine. Restrict access to potentially vulnerable web pages to minimize the risk of exploitation.

**Name of the Vulnerable Software and Affected Versions** Google Chrome versions prior to 114.0.5735.198 **Description** The issue is related to a type confusion vulnerability in the V8 engine of Google Chrome, allowing a remote attacker to potentially exploit heap corruption via a crafted HTML page. This vulnerability can lead to remote code execution. The Chromium security severity of this issue is High. **Recommendations** For Google Chrome versions prior to 114.0.5735.198, update to version 114.0.5735.198 or later to resolve the issue. As a temporary workaround, consider restricting access to potentially vulnerable `V8` engine components until a patch is applied. Avoid using crafted HTML pages that could exploit the type confusion vulnerability in the `V8` engine.

**Name of the Vulnerable Software and Affected Versions** Google Chrome versions prior to 111.0.5563.64 **Description** The issue is related to type confusion in the V8 JavaScript engine of Google Chrome, which can lead to heap corruption. A remote attacker can potentially exploit this issue by using a specially crafted HTML page, allowing them to execute arbitrary code. The severity of this issue is considered high. **Recommendations** For versions prior to 111.0.5563.64, update to version 111.0.5563.64 or later to resolve the issue. As a temporary workaround, consider restricting access to potentially vulnerable HTML pages until the update is applied.

**Nome do software vulnerável e versões afetadas** Versões do driver de kernel da GPU Arm Mali Bifrost r0p0 a r39p0 Versões do driver de kernel da GPU Arm Mali Valhall r19p0 a r39p0 Versões do driver de kernel da GPU Arm Mali Midgard r4p0 a r32p0 **Descrição** O problema está relacionado ao tratamento incorreto das operações de memória da GPU, permitindo que usuários sem privilégios acessem a memória liberada. Isso pode levar a uma negação de serviço. O número estimado de dispositivos potencialmente afetados não foi fornecido. Não há informações sobre incidentes reais em que essa vulnerabilidade tenha sido explorada. A vulnerabilidade está relacionada ao uso da memória após ela ter sido liberada, o que pode ser explorado por um invasor remoto. **Recomendações** Para as versões Bifrost r0p0 a r39p0, atualize para uma versão que lide adequadamente com as operações de memória da GPU para impedir o acesso à memória liberada. Para as versões Valhall r19p0 a r39p0, atualize para uma versão que lide adequadamente com as operações de memória da GPU para impedir o acesso à memória liberada. Para as versões Midgard r4p0 a r32p0, atualize para uma versão que lide adequadamente com as operações de memória da GPU para impedir o acesso à memória liberada. Como solução alternativa temporária, considere restringir o acesso ao driver do kernel da GPU para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Versões do Google Chrome anteriores à 102.0.5005.61 **Descrição** O problema está relacionado a um erro de confusão de tipos no mecanismo JavaScript V8 do Google Chrome, o que poderia permitir que um invasor remoto explorasse uma corrupção de heap por meio de uma página HTML maliciosa. Isso poderia levar à divulgação de informações protegidas. **Recomendações** Para versões anteriores à 102.0.5005.61, atualize para a versão 102.0.5005.61 ou posterior para resolver o problema.

**Nome do software vulnerável e versões afetadas** Versões do Google Chrome anteriores à 100.0.4896.60 Microsoft Edge (versões afetadas não especificadas) **Descrição** O problema está relacionado a uma confusão de tipos no motor JavaScript V8, o que pode levar à corrupção da pilha. Um invasor remoto pode potencialmente explorar essa vulnerabilidade por meio de uma página HTML maliciosa, permitindo-lhe executar código arbitrário. **Recomendações** Para versões do Google Chrome anteriores à 100.0.4896.60, atualize para a versão 100.0.4896.60 ou posterior. Para o Microsoft Edge, no momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas: Qualcomm Snapdragon (versões afetadas não especificadas) Descrição: O problema está relacionado à validação inadequada do endereço do buffer do kernel durante a cópia de informações de volta para o buffer do usuário, o que pode levar à exposição de informações da memória do kernel ao espaço do usuário. Isso afeta vários produtos Qualcomm Snapdragon, incluindo Snapdragon Auto, Snapdragon Compute, Snapdragon Consumer IoT, Snapdragon Industrial IoT, Snapdragon Mobile, Snapdragon Voice & Music e Snapdragon Wearables. Recomendações: No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas: Driver NPU da Qualcomm (versões afetadas não especificadas) Descrição: O problema está relacionado à validação inadequada do endereço do buffer do kernel durante a cópia de informações de volta para o buffer do usuário, o que pode levar à exposição de informações da memória do kernel ao espaço do usuário. Isso afeta vários produtos Snapdragon, incluindo os segmentos de Automotivo, Computação, IoT de Consumo, IoT Industrial, Dispositivos Móveis, Voz e Música e Dispositivos Vestíveis. Recomendações: No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas: Qualcomm Snapdragon (versões afetadas não especificadas) Descrição: O problema decorre do tratamento inadequado das respostas do firmware, podendo levar a uma situação de “use after free”. Isso afeta vários produtos Qualcomm Snapdragon, incluindo Snapdragon Auto, Snapdragon Compute, Snapdragon Consumer IoT, Snapdragon Industrial IoT, Snapdragon Mobile, Snapdragon Voice & Music e Snapdragon Wearables. Recomendações: No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Google Chrome no Android, versões anteriores à 91.0.4472.77 **Descrição** O problema está relacionado a uma vulnerabilidade do tipo “use after free” no componente WebAuthentication do Google Chrome. Isso poderia permitir que um invasor remoto que tenha comprometido o processo de renderização de um usuário, especialmente aquele que tenha salvo um cartão de crédito em sua conta do Google, potencialmente explore uma corrupção de heap por meio de uma página HTML maliciosa. **Recomendações** Para o Google Chrome em versões do Android anteriores à 91.0.4472.77, atualize para a versão 91.0.4472.77 ou posterior para resolver o problema. Como solução temporária, considere evitar o uso de cartões de crédito salvos nas contas do Google até que a atualização seja aplicada. Restrinja o acesso a componentes WebAuthentication potencialmente vulneráveis para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Versões do Google Chrome anteriores à 90.0.4430.212 **Descrição** O problema está relacionado a uma confusão de tipos no motor JavaScript V8, o que pode levar à corrupção da pilha (heap). Um invasor remoto pode explorar essa vulnerabilidade usando uma página HTML especialmente criada para esse fim, podendo obter acesso a dados confidenciais, comprometer a integridade dos dados e causar uma negação de serviço. **Recomendações** Para versões anteriores à 90.0.4430.212, atualize para a versão 90.0.4430.212 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso a páginas HTML potencialmente vulneráveis até que a atualização seja aplicada.

**Nome do software vulnerável e versões afetadas** Versões do Google Chrome anteriores à 87.0.4280.141 **Descrição** O problema está relacionado a uma vulnerabilidade do tipo “use after free” no componente de áudio, o que poderia permitir que um invasor remoto explorasse uma corrupção de heap por meio de uma página HTML maliciosa. Isso poderia afetar a confidencialidade, a integridade e a disponibilidade das informações protegidas. **Recomendações** Para versões anteriores à 87.0.4280.141, atualize para a versão 87.0.4280.141 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso a páginas HTML criadas especificamente para explorar a vulnerabilidade de corrupção de heap.

**Nome do software vulnerável e versões afetadas** Versões do Google Chrome anteriores à 87.0.4280.66 **Descrição** O problema está relacionado a uma vulnerabilidade do tipo “use after free” no componente de pagamentos do Google Chrome, o que poderia permitir que um invasor remoto que tivesse comprometido o processo de renderização potencialmente escapasse da sandbox. Isso pode ser feito por meio de uma página HTML especialmente criada. O invasor pode ser capaz de executar código arbitrário. **Recomendações** Para versões anteriores à 87.0.4280.66, atualize para a versão 87.0.4280.66 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso ao componente de pagamentos até que a atualização seja aplicada.

**Nome do software vulnerável e versões afetadas** Versões do Google Chrome anteriores à 86.0.4240.75 **Descrição** O problema está relacionado a uma vulnerabilidade do tipo “use after free” no componente de pagamentos do Google Chrome, o que poderia permitir que um invasor remoto potencialmente escapasse da sandbox por meio de uma página HTML maliciosa. Isso poderia permitir que o invasor contornasse as restrições de segurança existentes. **Recomendações** Para versões anteriores à 86.0.4240.75, atualize para a versão 86.0.4240.75 ou posterior para resolver o problema.

**Nome do software vulnerável e versões afetadas** Versões do Google Chrome anteriores à 80.0.3987.162 **Descrição** O problema está relacionado a um uso após liberação (use after free) no componente WebAudio, que pode ser explorado por um invasor remoto por meio de uma página HTML maliciosa. Isso pode potencialmente levar à corrupção da pilha (heap), permitindo que o invasor obtenha acesso não autorizado a dados confidenciais, cause uma negação de serviço ou comprometa a integridade dos dados. **Recomendações** Para versões anteriores à 80.0.3987.162, atualize para a versão 80.0.3987.162 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso à funcionalidade WebAudio até que a atualização seja aplicada.

**Nome do software vulnerável e versões afetadas** Versões do Google Chrome anteriores à 80.0.3987.149 **Descrição** O problema está relacionado a um erro de uso após liberação de memória (use after free) no componente de áudio do Google Chrome, que pode ser explorado por um invasor remoto para, potencialmente, acessar dados confidenciais, comprometer a integridade dos dados e causar uma negação de serviço. Isso pode ser feito por meio de uma página HTML maliciosa, permitindo a corrupção da pilha (heap). **Recomendações** Para versões anteriores à 80.0.3987.149, atualize para a versão 80.0.3987.149 ou posterior para resolver o problema.