Msrkp

**Nome do software vulnerável e versões afetadas** Versões do Electron anteriores à 18.0.0-beta.6 Versões do Electron anteriores à 17.2.0 Versões do Electron anteriores à 16.2.6 Versões do Electron anteriores à 15.5.5 **Descrição** A vulnerabilidade está relacionada ao parâmetro `nodeIntegrationInSubFrames` no Electron, o que pode levar à divulgação de informações. Um renderizador com execução de JavaScript pode obter acesso a um novo processo de renderização com `nodeIntegrationInSubFrames` habilitado, permitindo acesso efetivo ao `ipcRenderer`. Esse acesso pode comprometer o aplicativo ou o usuário se o aplicativo expor mensagens IPC sem validação do `senderFrame` do IPC que realizem ações privilegiadas ou retornem dados confidenciais. **Recomendações** Para versões anteriores à 18.0.0-beta.6, atualize para a versão 18.0.0-beta.6 ou posterior. Para versões anteriores à 17.2.0, atualize para a versão 17.2.0 ou posterior. Para versões anteriores à 16.2.6, atualize para a versão 16.2.6 ou posterior. Para versões anteriores à 15.5.5, atualize para a versão 15.5.5 ou posterior. Como solução alternativa temporária, certifique-se de que todos os manipuladores de mensagens IPC validem adequadamente `senderFrame`.

**Nome do software vulnerável e versões afetadas** Versões do Element Desktop anteriores à 1.9.7 **Descrição** A vulnerabilidade diz respeito a um bug de execução remota de programa que requer interação do usuário, envolvendo clicar em um link malicioso seguido de outro clique em um botão. De acordo com as informações disponíveis, este problema ainda não foi explorado em ambiente real. Se explorado com sucesso, permite que um invasor especifique o caminho de um arquivo binário no computador da vítima para execução, embora o invasor não possa especificar argumentos do programa. Em determinadas configurações, o invasor pode ser capaz de especificar um URI em vez de um caminho de arquivo, o que pode levar a vulnerabilidades adicionais nos mecanismos da plataforma e à execução de código arbitrário. **Recomendações** Para versões do Element Desktop anteriores à 1.9.7, atualize para a versão 1.9.7 ou posterior assim que possível para resolver o problema. Como solução alternativa temporária, considere evitar clicar em links e botões suspeitos para minimizar o risco de exploração. Restrinja o acesso a configurações potencialmente vulneráveis para reduzir o risco de exploração de outras vulnerabilidades.

**Nome do software vulnerável e versões afetadas** Versões do aurelia-path anteriores à 1.1.7 **Descrição** O problema está relacionado a uma vulnerabilidade de contaminação de protótipo no aurelia-path, que faz parte da plataforma Aurelia e contém utilitários para manipulação de caminhos. Essa vulnerabilidade expõe aplicativos Aurelia que utilizam o pacote `aurelia-path` para analisar uma string, particularmente aqueles que empregam o pacote `aurelia-router`. Um exemplo de exploração poderia envolver um invasor induzindo um aplicativo a analisar uma URL como `https://aurelia.io/blog/? proto [asdf]=asdf`, permitindo potencialmente que o invasor altere o protótipo da classe de objeto base `Object`. **Recomendações** Para versões anteriores à 1.1.7, atualize para a versão 1.1.7 para resolver o problema. Como solução alternativa temporária, considere usar `Object.freeze(Object.prototype)` para mitigar parcialmente a vulnerabilidade.