Niccolò Parlanti

**Nome do Software Vulnerável e Versões Afetadas** podinfo versões anteriores a 6.11.3 **Descrição** Um problema de cross-site scripting refletido existe nos endpoints '/echo' e '/api/echo'. A função `echoHandler` escreve o conteúdo do corpo da requisição diretamente na resposta sem definir cabeçalhos 'Content-Type' ou 'X-Content-Type-Options' explícitos. Isso permite que atacantes utilizem páginas HTML de origens cruzadas com formulários de envio automático contendo payloads de script no corpo da requisição. Devido à detecção de tipo de conteúdo do Go, essas respostas são servidas como 'text/html', permitindo que o script seja executado no contexto de origem do podinfo quando a vítima visita a página maliciosa. **Recomendações** Atualize para uma versão posterior a 6.11.2. Como medida paliativa temporária, restrinja o acesso aos endpoints '/echo' e '/api/echo' para minimizar o risco de exploração.

**Nome do Software Vulnerável e Versões Afetadas** TeleJSON versões anteriores a 6.0.0 **Description** Existe um problema na função `parse()` envolvendo a desserialização insegura. Ao reconstruir protótipos de objetos, um reviver personalizado passa o valor da propriedade ` constructor-name ` diretamente para `new Function()` sem sanitização. Isso permite que um invasor execute JavaScript arbitrário ao entregar um payload JSON manipulado, por exemplo, através de `postMessage` em contextos de comunicação entre frames. **Recommendations** Atualize para a versão 6.0.0 ou posterior.