Nadav0077

**Nome do Software Vulnerável e Versões Afetadas** undici versões 6.17.0 até 6.25.x undici versões 7.0.0 até 7.27.x undici versões 8.0.0 até 8.4.x **Description** O cliente WebSocket não limita o número de fragmentos em uma mensagem, aplicando o `maxPayloadSize` apenas à contagem cumulativa de bytes. Um servidor malicioso pode enviar inúmeros quadros de continuação pequenos ou vazios que ignoram a validação por quadro e o tamanho cumulativo, resultando em crescimento ilimitado da memória, exaustão de memória e negação de serviço. Isso afeta aplicações que utilizam o cliente `new WebSocket(...)` ou a API WebSocketStream ao se conectarem a um endpoint comprometido ou controlado por um invasor. **Recommendations** Atualize para a versão 6.26.0 ou posterior para o ramo 6.x. Atualize para a versão 7.28.0 ou posterior para o ramo 7.x. Atualize para a versão 8.5.0 ou posterior para o ramo 8.x.

**Nome do Software Vulnerável e Versões Afetadas** auth versões 1.18.0 até 1.25.1 auth versões 2.0.0 até 2.1.1 **Descrição** O provedor OAuth do Patreon mapeia cada conta do Patreon autenticada para o mesmo `user.ID` local, em vez de derivar um ID exclusivo da conta retornada pelo Patreon. Isso ocorre porque a função `mapUser()` gera o hash de um campo de destino não inicializado, em vez do ID de usuário real do Patreon. Consequentemente, todos os usuários autenticados via Patreon são fundidos em uma única identidade local. Aplicativos que confiam no `token.User.ID` como uma chave de conta estável podem acabar misturando ou mesclando usuários não relacionados, o que pode levar ao acesso entre contas, confusão de privilégios e vazamento de estado de assinatura. **Recomendações** Atualizar para a versão 1.25.2. Atualizar para a versão 2.1.2.

**Name of the Vulnerable Software and Affected Versions** web3.py versões 6.0.0b3 até 7.15.0 web3.py versões 6.0.0b3 até 8.0.0b2 **Description** o web3.py implementa o CCIP Read / OffchainLookup (EIP-3668) realizando requisições HTTP para URLs fornecidas por contratos inteligentes na variável `offchain lookup payload["urls"]`. A implementação utiliza essas URLs diretamente após a substituição de templates `{sender}` e `{data}` sem validação de destino, carecendo de restrições de esquemas, listas de permissões de hostname ou bloqueio de intervalos de IP privados e reservados. Como o CCIP Read é habilitado por padrão através da variável `global ccip read enabled`, qualquer aplicação que utilize o método `.call()` está exposta. Isso resulta em Server-Side Request Forgery (SSRF) quando a biblioteca é usada em serviços de backend, indexadores ou APIs que executam `eth call` ou `.call()` contra endereços de contratos não confiáveis. Um contrato malicioso pode forçar o processo a emitir requisições HTTP GET ou POST para destinos arbitrários, como serviços de rede interna, endereços de loopback e endpoints de metadados de nuvem. O problema é amplificado pois a biblioteca segue redirecionamentos HTTP por padrão sem validar a URL final resolvida. **Recommendations** Atualize o web3.py para a versão 7.15.0 ou 8.0.0b2. Como solução temporária, desabilite o CCIP Read definindo `global ccip read enabled` como `False` ao chamar contratos não confiáveis.