Nyxsorcerer

**Nome do Software Vulnerável e Versões Afetadas** Versões do SandboxJS anteriores à 0.8.26 **Descrição** O SandboxJS, uma biblioteca de sandbox JavaScript, possui uma falha na qual o construtor `AsyncFunction` não é devidamente isolado dentro do `SandboxFunction`. A biblioteca visa proteger a execução de código substituindo o construtor `Function` global por uma versão contida em sandbox. No entanto, em versões anteriores à 0.8.26, os mapeamentos para `AsyncFunction`, `GeneratorFunction` e `AsyncGeneratorFunction` estavam ausentes. Isso permite que o código dentro da sandbox acesse o construtor `AsyncFunction` nativo do host via propriedade `.constructor` de uma função assíncrona. Ao obter este construtor, um atacante pode criar e executar funções fora da sandbox, levando à Execução Remota de Código (RCE). A vulnerabilidade ocorre devido à falha em interceptar o construtor `AsyncFunction`, permitindo que atacantes contornem as restrições de segurança e obtenham acesso total ao ambiente do host. **Recomendações** Versões anteriores à 0.8.26 devem ser atualizadas para a versão 0.8.26 ou posterior.

**Name of the Vulnerable Software and Affected Versions** Apache HTTP Server versions 2.4.30 through 2.4.55 uWSGI PyPI package versions prior to 2.0.22 **Description** The issue is related to HTTP Response Smuggling vulnerability in Apache HTTP Server via mod proxy uwsgi. Special characters in the origin response header can truncate/split the response forwarded to the client. This can allow a remote attacker to perform an HTTP request smuggling attack. **Recommendations** For Apache HTTP Server versions 2.4.30 through 2.4.55, update to a version that includes the fix for this issue. For uWSGI PyPI package versions prior to 2.0.22, update to version 2.0.22 or later. As a temporary workaround, consider disabling the mod proxy uwsgi module until a patch is available. Restrict access to the vulnerable module to minimize the risk of exploitation.

**Nome do software vulnerável e versões afetadas** Versões do Apache HTTP Server anteriores à 2.4.55 **Descrição** O problema está relacionado ao módulo mod proxy no Apache HTTP Server, que não consegue lidar adequadamente com sequências CRLF nos cabeçalhos HTTP. Isso pode ser explorado por um invasor remoto para realizar ataques de divisão de resposta HTTP. Um backend malicioso pode fazer com que os cabeçalhos de resposta sejam truncados prematuramente, resultando na incorporação de alguns cabeçalhos no corpo da resposta, o que pode contornar medidas de segurança caso esses cabeçalhos tenham uma finalidade de segurança. **Recomendações** Para versões anteriores à 2.4.55, atualize para a versão 2.4.55 ou posterior do servidor HTTP Apache para resolver o problema. Como solução alternativa temporária, considere restringir o acesso ao módulo mod proxy para minimizar o risco de exploração.