Nszetei

**Name of the Vulnerable Software and Affected Versions** github.com/crewjam/saml versions prior to 0.4.13 **Description** The issue arises from the package's use of `flate.NewReader` without limiting the size of the input. This allows a user to pass more than 1 MB of data in an HTTP request to the processing functions, which will be decompressed server-side using the Deflate algorithm. Repeating the same request multiple times can lead to a reliable crash, as the operating system kills the process due to excessive resource usage. **Recommendations** For versions prior to 0.4.13, update to version 0.4.13 to resolve the issue. As a temporary workaround, consider limiting the size of HTTP requests to prevent excessive decompression. Restrict access to the `flate.NewReader` function until a patch is available. Avoid using the Deflate algorithm for decompressing large inputs in the affected API endpoints until the issue is resolved.

**Nome do software vulnerável e versões afetadas** JerryScript versão 2.2.0 **Descrição** Foi descoberta uma falha no arquivo ecma/operations/ecma-container-object.c, na qual as operações com pares chave/valor não consideravam o caso em que a coleta de lixo é acionada após a operação de chave, mas antes da operação de valor. Isso é demonstrado pelo acesso de leitura indevido à memória na função ecma gc set object visited, no arquivo ecma/base/ecma-gc.c. **Recomendações** Para a versão 2.2.0 do JerryScript, como solução temporária, considere restringir o acesso à função `ecma gc set object visited` em ecma/base/ecma-gc.c até que um patch esteja disponível. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** JerryScript versão 2.2.0 **Descrição** O problema decorre do tratamento incorreto de erros durante certas condições de falta de memória no arquivo `parser/js/js-scanner.c`. Isso pode levar a uma desreferência de ponteiro NULL em `scanner reverse info list` e a uma falha de asserção em `scanner scan all`. **Recomendações** Para o JerryScript versão 2.2.0, considere aplicar um patch ou correção que lide adequadamente com condições de falta de memória para evitar desreferências de ponteiro NULL e falhas de asserção. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** JerryScript versão 2.2.0 **Descrição** A vulnerabilidade permite que invasores provoquem uma negação de serviço, especificamente uma falha de asserção, devido a uma consulta de chave de propriedade para um objeto Proxy que retorna dados indesejados. **Recomendações** Para o JerryScript versão 2.2.0, no momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** JerryScript versão 2.2.0 **Descrição** A vulnerabilidade permite que invasores provoquem uma negação de serviço, especificamente por meio do esgotamento da pilha, ao executar uma operação de proxy. **Recomendações** Para o JerryScript versão 2.2.0, no momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.