Nickfloyd

**Name of the Vulnerable Software and Affected Versions** octokit/webhooks versions 9.26.0 through 9.26.2 octokit/webhooks versions 10.9.0 through 10.9.1 octokit/webhooks versions 11.1.0 through 11.1.1 octokit/webhooks versions 12.0.0 through 12.0.3 **Description** The issue is caused by a problem with error handling in the @octokit/webhooks library, where the error can be undefined in some cases, resulting in an uncaught exception that ends the nodejs process. This problem was encountered during a pentest and is specifically related to the octokit/webhooks library, a dependency of Probot, a framework for building Github Apps. **Recommendations** For octokit/webhooks versions 9.26.0 through 9.26.2, update to version 9.26.3. For octokit/webhooks versions 10.9.0 through 10.9.1, update to version 10.9.2. For octokit/webhooks versions 11.1.0 through 11.1.1, update to version 11.1.2. For octokit/webhooks versions 12.0.0 through 12.0.3, update to version 12.0.4. As a general recommendation, it is advised to upgrade to the latest version of octokit/webhooks.js or use one of the updated backported versions.

**Nome do software vulnerável e versões afetadas** octopoller versão 0.2.0 **Descrição** O problema decorre do fato de o gem octopoller vir compactado com arquivos cujas permissões estão definidas como `-rw-rw-rw-` (ou seja, 0666) em vez de `rw-r--r--` (ou seja, 0644) na versão 0.2.0. Isso significa que qualquer pessoa que não seja o proprietário (Grupo e Público) com acesso à instância onde esta versão foi instalada poderia modificar os arquivos com permissão de gravação para todos desta gem. Código malicioso já presente e em execução na máquina poderia modificar os arquivos da gem e alterar seu comportamento durante a execução. **Recomendações** Para a versão 0.2.0, considere modificar manualmente as permissões dos arquivos até que você consiga atualizar para a versão mais recente, que é a 0.3.0. Como alternativa, faça o downgrade para a versão 0.1.0 até que a versão mais recente esteja disponível. Como solução temporária, defina manualmente as permissões dos arquivos como `rw-r--r--` (ou seja, 0644) para impedir modificações não autorizadas.

**Nome do software vulnerável e versões afetadas** Versões 4.23.0 a 4.24.0 do Octokit **Descrição** O problema diz respeito à gem Octokit, um kit de ferramentas Ruby para a API do GitHub, cujas versões 4.23.0 e 4.24.0 foram publicadas com arquivos com permissão de gravação para todos. Os arquivos da gem tinham permissões definidas como `-rw-rw-rw-` (ou seja, 0666) em vez de `rw-r--r--` (ou seja, 0644), permitindo que qualquer pessoa com acesso à instância onde a versão foi instalada pudesse modificar esses arquivos. Isso poderia potencialmente permitir que código malicioso já presente em uma máquina alterasse o comportamento da gem durante a execução. **Recomendações** Para as versões 4.23.0 e 4.24.0, considere modificar manualmente as permissões dos arquivos para `rw-r--r--` (ou seja, 0644) até que você consiga atualizar para a versão mais recente. Como alternativa, para as versões 4.23.0 e 4.24.0, use a versão anterior da gem, v4.22.0, como uma solução temporária. Para uma correção permanente, atualize para o Octokit 4.25.0.