Oreoshake

**Nome do software vulnerável e versões afetadas** Versões do Secure Headers anteriores à 3.9.0 Versões do Secure Headers anteriores à 5.2.0 Versões do Secure Headers anteriores à 6.3.0 **Descrição** Existe uma vulnerabilidade de injeção de diretivas no Secure Headers. Se uma entrada fornecida pelo usuário fosse passada para `append/override content security policy directives`, uma quebra de linha poderia ser injetada, levando a uma injeção limitada de cabeçalhos. Ao detectar uma quebra de linha no cabeçalho, o Rails criará silenciosamente um novo cabeçalho `Content-Security-Policy` com o valor restante da string original. Ele continuará a criar novos cabeçalhos para cada quebra de linha. Isso permite que valores maliciosos sejam injetados, levando potencialmente a problemas de segurança. **Recomendações** Para versões anteriores à 3.9.0, atualize para a versão 3.9.0 ou posterior. Para versões anteriores à 5.2.0, atualize para a versão 5.2.0 ou posterior. Para versões anteriores à 6.3.0, atualize para a versão 6.3.0 ou posterior. Como solução temporária, considere usar o seguinte código para impedir a injeção de novas linhas: `override content security policy directives(:frame src, [user input.gsub(“ ”, “ ”)])`.