Mcoimbra

**Name of the Vulnerable Software and Affected Versions** cross-zip (affected versions not specified) **Description** The `cross-zip` JavaScript package, used for zipping and unzipping files in Node.js environments, is susceptible to a directory traversal issue. This arises from improper handling of user-supplied arguments in the `zipSync()` and `unzipSync()` functions, allowing attackers to access arbitrary files on the host system. Exploitation involves manipulating archive contents or extraction paths, potentially leading to information disclosure or further compromise. The issue occurs through consecutive usage of the `zipSync()` and `unzipSync()` functions with arguments such as ` dirname`. **Recommendations** At the moment, there is no information about a newer version that contains a fix for this vulnerability.

**Nome do software vulnerável e versões afetadas** Versões do @blakeembrey/template anteriores à 1.2.0 **Descrição** A vulnerabilidade permite que um invasor injete e execute código dentro do modelo, caso tenha acesso para gravar o nome do modelo. Isso pode ser feito explorando o recurso de nome de exibição do modelo. **Recomendações** Para versões anteriores à 1.2.0, atualize para a versão 1.2.0 para corrigir o problema. Como solução alternativa temporária, não passe entradas não confiáveis como nome de exibição do modelo, ou não utilize o recurso de nome de exibição.

**Nome do software vulnerável e versões afetadas** Versões do gettext.js anteriores à 2.0.3 **Descrição** O problema está relacionado a uma injeção de código XSS (Cross-Site Scripting) no gettext.js, uma adaptação do GNU gettext para o Node.js e navegadores, quando os arquivos de definição de dicionário `.po` estão corrompidos. **Recomendações** Para versões anteriores à 2.0.3, atualize o gettext.js para a versão 2.0.3. Como solução temporária, controle a origem do catálogo de definições para impedir o uso dessa falha na definição de formas plurais.