Ooooooo-Q

**Nome do Software Vulnerável e Versões Afetadas** Versões do Sinatra anteriores a 4.2.0 **Descrição** O Sinatra, uma linguagem específica de domínio para criar aplicações web em Ruby, contém um problema no qual entradas especialmente elaboradas podem causar tempo de processamento excessivo durante a análise dos cabeçalhos `If-Match` e `If-None-Match`. Isso ocorre quando o método `etag` é usado para construir respostas, potencialmente levando a uma negação de serviço. Os cabeçalhos `If-Match` e `If-None-Match` são tipicamente usados na geração do valor do cabeçalho `ETag`. **Recomendações** Atualize para o Sinatra versão 4.2.0 ou superior.

**Nome do software vulnerável e versões afetadas** Versões do ActionText 7.1.0 a 7.1.3.3 Versão 7.2.0.beta1 do ActionText **Descrição** O problema decorre da inclusão de instâncias de ActionText::Attachable::ContentAttachment dentro de uma tag `rich text area`, que poderia conter HTML não sanitizado. Isso pode levar a um possível problema de cross-site scripting no editor Trix. **Recomendações** Para as versões do ActionText 7.1.0 a 7.1.3.3, atualize para a versão 7.1.3.4 para resolver o problema. Para a versão 7.2.0.beta1 do ActionText, atualize para a versão 7.2.0.beta2 para resolver o problema. Como solução temporária, considere restringir o acesso à tag `rich text area` até que um patch seja aplicado. Aplique o patch fornecido para a série 7.1, action text content attachment xss 7 1 stable.patch, para ajudar a mitigar o problema para usuários que não possam atualizar imediatamente.

**Nome do software vulnerável e versões afetadas** Versões do Ruby on Rails anteriores à 7.1.3.1 Versões do Ruby on Rails anteriores à 7.0.8.1 **Descrição** Existe uma possível vulnerabilidade XSS ao utilizar os auxiliares de tradução no Action Controller. Aplicativos que utilizam métodos de tradução como `translate` ou `t` em um controlador, com uma chave terminada em “ html”, uma chave `:default` que contenha entradas de usuário não confiáveis e cuja string resultante seja utilizada em uma visualização, podem estar suscetíveis a uma vulnerabilidade XSS. A vulnerabilidade está relacionada à neutralização incorreta dos dados de entrada durante a geração da página web, o que pode permitir que um invasor execute scripts entre sites. **Recomendações** Para versões anteriores à 7.1.3.1, atualize para a versão 7.1.3.1 para corrigir a vulnerabilidade. Para versões anteriores à 7.0.8.1, atualize para a versão 7.0.8.1 para corrigir a vulnerabilidade. Como solução temporária, considere desativar o uso de métodos de tradução como `translate` ou `t` em controladores com chaves terminadas em “ html” e valores padrão contendo entradas de usuário não confiáveis, até que um patch esteja disponível. Restrinja o acesso aos auxiliares de tradução vulneráveis no Action Controller para minimizar o risco de exploração. Evite usar a chave `:default` com entradas de usuário não confiáveis nos métodos de tradução afetados até que o problema seja resolvido.

**Nome do software vulnerável e versões afetadas** Versões do Rack 1.3.0 a 3.0.9 e 2.2.8.1. **Descrição** O Rack é uma interface modular de servidor web em Ruby. Existe uma vulnerabilidade de negação de serviço (DoS) devido ao tratamento inadequado de cabeçalhos Range. Cabeçalhos Range cuidadosamente criados podem fazer com que o servidor responda com uma resposta inesperadamente grande, levando potencialmente a uma negação de serviço. Aplicativos que utilizam o middleware `Rack::File` ou os métodos `Rack::Utils.byte ranges`, incluindo aplicativos Rails, estão vulneráveis. **Recomendações** Atualize para a versão 3.0.9.1 ou 2.2.8.1 do Rack para corrigir essa vulnerabilidade.