Ochk0

Nome do Software Vulnerável e Versões Afetadas Vite versões 6.0.0 até 6.4.1, 7.3.2 e 8.0.5 Descrição O servidor de desenvolvimento Vite lida incorretamente com solicitações .map para dependências otimizadas. Ele resolve caminhos de arquivos e chama readFile sem restringir segmentos '../' na URL, permitindo potencialmente ignorar a lista de permissões server.fs.strict e recuperar arquivos .map localizados fora do diretório raiz do projeto se forem JSON de mapa de origem válidos. Isso pode expor conteúdo confidencial se o servidor estiver exposto à rede e caminhos previsíveis para arquivos .map existirem. Recomendações Atualize para a versão Vite 6.4.2 ou posterior, 7.3.2 ou 8.0.5.

Name of the Vulnerable Software and Affected Versions OpenProject versões anteriores a 17.2.3 Description OpenProject, um software de gerenciamento de projetos baseado na web, apresenta uma falha onde a entrada do usuário é inserida diretamente em cláusulas SQL WHERE sem a devida parametrização. Isso ocorre devido ao operador =n em modules/reporting/lib/report/operator.rb:177. Isso pode permitir a injeção de SQL. A falha afeta usuários autenticados e pode potencialmente conceder-lhes acesso ao banco de dados. Recommendations Atualize para a versão 17.2.3 ou posterior.

**Nome do Software Vulnerável e Versões Afetadas** fast-xml-parser versões 4.1.3 até 5.3.5 **Descrição** O fast-xml-parser possui uma falha na forma como lida com nomes de entidade DOCTYPE durante a análise de XML. Especificamente, um ponto (.) dentro de um nome de entidade é tratado como um curinga de regex durante a substituição de entidades. Isso permite que um atacante oculte ou sobrescreva entidades XML nativas, como (<, >, &, ", '), com valores arbitrários, contornando a codificação de entidades. Isso pode levar a Cross-Site Scripting (XSS) quando a saída analisada é renderizada, ou potencialmente a divulgação de informações ou Falsificação de Solicitação do Lado do Servidor (SSRF). O problema existe nas versões 5 e 6 da biblioteca. O analisador constrói expressões regulares dinamicamente a partir de nomes de entidade DOCTYPE não confiáveis. Um nome de entidade como 'l.' cria uma regex que corresponde a qualquer caractere, efetivamente ocultando a entidade '<'. A vulnerabilidade afeta aplicativos que analisam XML não confiável e usam a saída em contextos sensíveis a injeção. Aproximadamente 40 milhões de downloads semanais do npm são afetados. **Recomendações** Atualize o fast-xml-parser para a versão 5.3.5 ou posterior.