Matthew Wild

**Nome do software vulnerável e versões afetadas** Prosody (versões afetadas não especificadas) **Descrição** O problema está relacionado à implementação do módulo de servidor WebSocket para Jabber/XMPP no Prosody, que está associado a uma restrição incorreta de links XML para objetos externos. Isso pode levar a uma negação de serviço quando explorado por um invasor remoto. O problema decorre de uma biblioteca interna do Prosody que carrega XML com base na libexpat, falhando em restringir adequadamente os recursos XML permitidos nos dados XML analisados. Como resultado, isso pode permitir a expansão de referências de entidades recursivas a partir de DTDs e, dependendo da versão da libexpat, potencialmente possibilitar injeções usando Referências de Entidades Externas XML. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Módulos comunitários mod auth ldap e mod auth ldap2 do Prosody, versões anteriores a 27/01/2020 **Descrição** O problema está relacionado à verificação incompleta do endereço XMPP passado para a função `is admin()` nos módulos comunitários mod auth ldap e mod auth ldap2 para Prosody. Isso pode permitir que uma entidade remota obtenha funcionalidades exclusivas do administrador se seu nome de usuário corresponder ao de um administrador local, levando potencialmente ao acesso não autorizado a dados confidenciais, à violação da integridade dos dados e à negação de serviço. **Recomendações** Para as versões dos Módulos Comunitários mod auth ldap e mod auth ldap2 do Prosody anteriores a 27/01/2020, atualize para uma versão lançada após 27/01/2020 para garantir a verificação adequada dos endereços XMPP e impedir o acesso não autorizado. Como solução temporária, considere restringir o acesso às funcionalidades exclusivas do administrador até que a atualização possa ser aplicada.