Nickcopi

**Nome do Software Vulnerável e Versões Afetadas** Versões do n8n anteriores a 1.123.17 Versões do n8n anteriores a 2.5.2 **Descrição** O n8n é uma plataforma de automação de fluxo de trabalho de código aberto. Existe uma falha na qual um usuário autenticado com permissões de criação ou modificação de fluxos de trabalho pode explorar expressões manipuladas dentro dos parâmetros do fluxo de trabalho para acionar a execução de comandos arbitrários do sistema no sistema host. Esta vulnerabilidade contorna correções anteriores e permite a execução remota de código, potencialmente levando ao roubo de credenciais e ao comprometimento completo do sistema host. Webhooks públicos podem ser explorados para disparar execução remota. **Recomendações** Atualize o n8n para a versão 1.123.17 ou posterior. Atualize o n8n para a versão 2.5.2 ou posterior. Se a atualização não for possível imediatamente, limite as permissões de criação e edição de fluxos de trabalho apenas a usuários totalmente confiáveis. Implante o n8n em um ambiente fortificado com privilégios do sistema operacional restritos e acesso à rede restrito.

**Nome do software vulnerável e versões afetadas** Versões do Shields.io anteriores à server-2024-09-25 **Descrição** O problema diz respeito a uma vulnerabilidade de execução remota por meio da biblioteca JSONPath utilizada pelos emblemas dinâmicos JSON/Toml/Yaml. Essa vulnerabilidade permite que qualquer usuário com acesso faça uma solicitação a uma URL na instância para executar código, criando uma expressão JSONPath maliciosa. Todos os usuários que hospedam uma instância por conta própria estão vulneráveis. O problema foi corrigido na versão server-2024-09-25. **Recomendações** Para versões anteriores à server-2024-09-25, atualize para a versão server-2024-09-25 ou posterior. Como solução temporária, considere bloquear o acesso aos endpoints “/badge/dynamic/json”, “/badge/dynamic/toml” e “/badge/dynamic/yaml” (por exemplo, por meio de um firewall ou proxy reverso na frente da sua instância) para impedir que os endpoints vulneráveis sejam acessados. Para aqueles que seguem a tag rolling no DockerHub, atualize para a versão mais recente executando `docker pull shieldsio/shields:next`.