Max Schaefer

**Nome do software vulnerável e versões afetadas: versões do ssh2 anteriores à 1.4.0 Descrição: O problema é uma vulnerabilidade de injeção de comando que pode levar à execução remota de código se um cliente da biblioteca chamar o método vulnerável com entradas não confiáveis. Este problema ocorre apenas no Windows. Recomendações: Para versões anteriores à 1.4.0, atualize para a versão 1.4.0 para resolver o problema. Como solução alternativa temporária, considere validar e sanitizar qualquer entrada não confiável antes de chamar o método vulnerável para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas: slashify versão 1.0.0 Descrição: A vulnerabilidade permite ataques de redirecionamento aberto. Trata-se de um middleware do Express que normaliza rotas removendo qualquer barra final e redireciona sem validar o caminho. Por exemplo, acessar uma URL como ‘localhost:3000///github.com/’ pode redirecionar para ‘https://github.com’. Recomendações: Para a versão 1.0.0, recomenda-se interromper o uso do pacote `slashify`, pois não há nenhuma versão segura conhecida deste pacote.

**Name of the Vulnerable Software and Affected Versions** Pannellum versions 2.5.0 through 2.5.5 **Description** The issue allows for potential Cross-Site Scripting (XSS) attacks due to insufficient sanitization of URLs for data URIs. An attack would require a user to click on a hot spot and would need an attacker-provided configuration. A plausible attack scenario involves hosting pannellum.htm on a domain that shares cookies with the targeted site's user authentication, allowing an attacker to embed an iframe on their site and potentially access information from the targeted site as the authenticated user if the user clicks on a hot spot in the attacker's embedded panorama viewer. **Recommendations** For versions 2.5.0 through 2.5.5, upgrade to version 2.5.6 or later.