Ndaprela

**Nome do Software Vulnerável e Versões Afetadas** Inspektor Gadget (versões afetadas não especificadas) **Descrição** O Inspektor Gadget possui um problema onde campos de string de eventos eBPF no modo de saída em colunas não são sanitizados, potencialmente permitindo que cargas úteis de eventos criadas maliciosamente de contêineres observados injetem sequências de escape ANSI no terminal dos operadores. Isso pode levar a vários efeitos devido à falta de sanitização de caracteres de controle. O modo de saída em colunas é o padrão ao executar o Inspektor Gadget interativamente. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** Versões do Inspektor Gadget anteriores a 0.48.1 **Descrição** O Inspektor Gadget é um conjunto de ferramentas e um framework para coleta de dados e inspeção de sistemas em clusters Kubernetes e hosts Linux utilizando eBPF. O binário `ig` inclui um subcomando para construção de imagens, que utiliza um arquivo `Makefile.build`. Este arquivo incorpora dados controlados pelo usuário sem escape adequado, resultando em uma vulnerabilidade de injeção de comandos. Um atacante que controle os valores dentro da estrutura `buildOptions` pode executar comandos arbitrários durante o processo de construção da imagem. A exploração pode ocorrer no host Linux onde o comando `ig` é executado, especialmente ao usar a flag `--local`, ou dentro do container de build caso a flag não seja utilizada. A estrutura `buildOptions` é derivada do manifesto do gadget em YAML fornecido ao comando `ig image build`, exigindo controle sobre o arquivo `build.yml` ou suas opções para explorar a vulnerabilidade. **Recomendações** Atualize para a versão 0.48.1 ou superior.

**Name of the Vulnerable Software and Affected Versions** OpenEXR versions 3.3.2 **Description** OpenEXR is an image storage format used in the motion picture industry. A NULL pointer dereference can occur in a write operation when reading a deep scanline image with a large sample count in reduceMemory mode in version 3.3.2, potentially causing a target application to crash. **Recommendations** Update to version 3.3.3 or later.

**Nome do Software Vulnerável e Versões Afetadas** Versões do OpenEXR anteriores à 3.3.3 **Descrição** O OpenEXR é um formato de armazenamento de imagens utilizado na indústria cinematográfica. Versões anteriores à 3.3.3 confiam em valores de tamanho do dataWindow não validados nos cabeçalhos de arquivo, o que pode levar a uma alocação excessiva de memória e degradação de desempenho ao processar arquivos maliciosos. **Recomendações** Atualize para a versão 3.3.3 ou posterior.

**Nome do Software Vulnerável e Versões Afetadas** Versões do MaterialX 1.39.2 e inferiores **Descrição** O MaterialX é um padrão aberto para a troca de conteúdo rico de materiais e desenvolvimento de aparência entre aplicativos e renderizadores. A lógica de análise XML do MaterialX pode potencialmente travar devido ao esgotamento de pilha ao processar um arquivo MTLX com múltiplas implementações de grafos de nós aninhados. Um atacante poderia travar intencionalmente um programa alvo que utiliza OpenEXR enviando um arquivo MTLX malicioso. **Recomendações** Atualize para a versão 1.39.3 ou posterior.

**Nome do Software Vulnerável e Versões Afetadas** OpenEXR versões 3.3.0 a 3.3.2 **Descrição** O OpenEXR fornece a especificação e a implementação de referência do formato de arquivo EXR, um formato de armazenamento de imagens para a indústria cinematográfica. Um estouro de buffer baseado em heap ocorre durante uma operação de escrita ao descomprimir arquivos EXR deep scan-line compactados com ZIPS que contenham um cabeçalho de chunk forjado maliciosamente. **Recomendações** Atualize para a versão 3.3.3 ou posterior.

**Nome do Software Vulnerável e Versões Afetadas** MaterialX versão 1.39.2 **Descrição** O MaterialX é um padrão aberto para a troca de conteúdo rico de materiais e desenvolvimento de aparência entre aplicativos e renderizadores. Ao analisar nós de shader em um arquivo MTLX, o código MaterialXCore acessa um ponteiro potencialmente nulo, o que pode levar a travamentos com arquivos criados maliciosamente. Um atacante poderia provocar intencionalmente o travamento de um programa alvo que utiliza OpenEXR ao enviar um arquivo MTLX malicioso. **Recomendações** Atualize para a versão 1.39.3 ou posterior.

**Name of the Vulnerable Software and Affected Versions** MaterialX version 1.39.2 **Description** MaterialX is an open standard for the exchange of rich material and look-development content across applications and renderers. Nested imports of MaterialX files can lead to a crash due to stack memory exhaustion. This occurs because the library lacks a limit on the depth of the "import chain" when parsing file imports, utilizing recursion without depth restrictions. Constructing a deeply nested chain of MaterialX files referencing each other can exhaust the stack memory, causing a process crash. **Recommendations** Update to version 1.39.3 or later.

**Name of the Vulnerable Software and Affected Versions** MaterialX versions prior to 1.39.3 **Description** MaterialX is an open standard for the exchange of rich material and look-development content across applications and renderers. When parsing shader nodes in a MTLX file, the MaterialXCore code accesses a potentially null pointer, which can lead to crashes with maliciously crafted files. An attacker could intentionally crash a target program that uses MaterialX by sending a malicious MTLX file. **Recommendations** Update to MaterialX version 1.39.3 or later.

**Nome do Software Vulnerável e Versões Afetadas** Versões do OpenEXR anteriores a 3.3.3 **Descrição** O OpenEXR, um formato de armazenamento de imagens utilizado na indústria cinematográfica, contém uma falha. Um estouro de buffer baseado em heap pode ocorrer durante uma operação de leitura ao descomprimir arquivos EXR de scan-line compactados com DWAA que contenham um bloco forjado maliciosamente. O problema é devido a um cálculo incorreto de ponteiros. **Recomendações** Atualize para a versão 3.3.3 ou posterior.