Mistersiddd

**Nome do Software Vulnerável e Versões Afetadas** fast-xml-parser versões 4.3.6 até 5.3.3 **Descrição** O fast-xml-parser permite aos usuários validar XML, analisar XML para um objeto JS ou construir XML a partir de um objeto JS sem bibliotecas baseadas em C/C++ e sem callback. Nas versões 4.3.6 até 5.3.3, ocorre um RangeError no processamento de entidades numéricas ao analisar XML com pontos de código de entidade fora do intervalo (por exemplo, `�` ou `�`). Isso faz com que o analisador lance uma exceção não capturada, travando qualquer aplicação que processe entrada XML não confiável. O problema deve-se ao método `String.fromCodePoint()` lançar um `RangeError` quando o ponto de código excede o intervalo Unicode válido. Os padrões regex usados para capturar entidades numéricas podem corresponder a valores que excedem este intervalo. O processo de substituição de entidades carece de um bloco try-catch, permitindo que o `RangeError` se propague e trave o analisador. Uma prova de conceito demonstra que o envio de um payload XML malicioso com uma entidade numérica fora do intervalo pode travar um servidor Node.js usando fast-xml-parser. Isso pode levar a uma negação de serviço em aplicações que processam entrada XML não confiável, como servidores de API, processadores de arquivos, filas de mensagens, analisadores de feed RSS/Atom e serviços SOAP/XML-RPC. **Recomendações** Atualize para a versão 5.3.4 ou posterior do fast-xml-parser.

**Nome do Software Vulnerável e Versões Afetadas** Versões do node-tar anteriores à 7.5.7 **Descrição** O software node-tar apresenta uma falha na qual a verificação de segurança para entradas de hardlink utiliza uma lógica de resolução de caminho diferente do processo real de criação de hardlink. Essa discrepância permite que um arquivo TAR malicioso contorne as proteções contra path traversal e crie hardlinks para arquivos fora do diretório de extração pretendido. **Recomendações** Atualize para a versão 7.5.7 ou superior.