Maple3142

**Nome do Software Vulnerável e Versões Afetadas** TinyMCE versões 6.8.0 até 7.0.x **Descrição** Um problema de XSS (Cross-Site Scripting) existe devido ao manuseio inadequado do escopo do namespace SVG no sanitizador. Um invasor pode usar um payload manipulado com elementos aninhados para ignorar a sanitização de atributos, permitindo a execução de JavaScript arbitrário. **Recomendações** Atualizar para a versão 7.1.0.

**Nome do software vulnerável e versões afetadas** Node.js (versões afetadas não especificadas) **Descrição** Foi identificada uma vulnerabilidade no Node.js que permite um ataque de Negação de Serviço (DoS) por esgotamento de recursos ao usar a função `fetch()` para recuperar conteúdo de uma URL não confiável. A vulnerabilidade decorre do fato de que a função `fetch()` no Node.js sempre decodifica Brotli, possibilitando que um invasor cause esgotamento de recursos ao buscar conteúdo de uma URL não confiável. Um invasor que controle a URL passada para `fetch()` pode explorar essa vulnerabilidade para esgotar a memória, levando potencialmente ao encerramento do processo, dependendo da configuração do sistema. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Name of the Vulnerable Software and Affected Versions** Livebook versions prior to 0.8.2 Livebook versions prior to 0.9.3 **Description** The issue allows arbitrary code execution on a victim's machine when a `livebook://` link is opened from a browser, triggering Livebook Desktop to execute the code. This can happen when a user expects Livebook to be opened from a browser. **Recommendations** For versions prior to 0.8.2, update to version 0.8.2 or later. For versions prior to 0.9.3, update to version 0.9.3 or later. As a temporary workaround, consider avoiding the use of `livebook://` links from browsers until the issue is resolved.