Pjlantz

**Nome do software vulnerável e versões afetadas** Versões do Cherokee de 0.4.27 a 1.2.104 **Descrição** O problema é uma negação de serviço causada por desreferências de ponteiro NULL. Um invasor remoto não autenticado pode travar o servidor enviando uma solicitação HTTP para recursos protegidos usando um cabeçalho `Authorization` malformado. Esse cabeçalho é tratado incorretamente durante uma chamada `cherokee buffer add` dentro das funções `cherokee validator parse basic` ou `cherokee validator parse digest`. **Recomendações** Para as versões do Cherokee 0.4.27 a 1.2.104, como solução temporária, considere restringir o acesso a recursos protegidos para minimizar o risco de exploração. Evite usar cabeçalhos `Authorization` malformados em solicitações HTTP até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas: OpenDMARC versões 1.3.2 e 1.4.x até 1.4.0-Beta1 Descrição: O problema está relacionado à terminação nula incorreta na função `opendmarc xml parse`, o que pode resultar em um estouro de pilha de um byte na função `opendmarc xml` ao analisar um relatório agregado DMARC especialmente criado. Isso pode causar corrupção remota de memória quando um byte ‘0’ sobrescreve os metadados da pilha do próximo bloco e seu sinalizador PREV INUSE. A vulnerabilidade pode permitir que um invasor remoto execute código arbitrário no sistema alvo ao abrir um relatório agregado DMARC especialmente criado. Recomendações: Para as versões 1.3.2 e 1.4.x até 1.4.0-Beta1 do OpenDMARC, considere desativar a função `opendmarc xml parse` até que um patch esteja disponível para evitar corrupção remota de memória. Restrinja o acesso ao módulo `opendmarc xml` para minimizar o risco de exploração. Evite usar o módulo `opendmarc xml` para analisar relatórios agregados DMARC até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Portable UPnP SDK (também conhecido como libupnp), versões 1.12.1 e anteriores **Descrição** O problema está relacionado a uma desreferência de ponteiro NULL nas funções `FindServiceControlURLPath` e `FindServiceEventURLPath`, que pode ser explorada por invasores remotos para causar uma negação de serviço (falha) por meio de uma mensagem SSDP maliciosa. Isso se deve a erros no tratamento de ponteiros dentro da biblioteca. **Recomendações** Para as versões 1.12.1 e anteriores do Portable UPnP SDK (também conhecido como libupnp), considere desativar as funções `FindServiceControlURLPath` e `FindServiceEventURLPath` como uma solução temporária até que um patch esteja disponível. Restrinja o acesso ao módulo `genlib/service table/service table.c` para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Name of the Vulnerable Software and Affected Versions** Modoboa modoboa-dmarc plugin version 1.1.0 **Description** The issue allows for an XML External Entity Injection (XXE) attack when processing XML data. A remote attacker could exploit this to perform a denial of service against the DMARC reporting functionality. This can be achieved by referencing sensitive files within XML documents emailed to the address in the rua field of the DMARC records of a domain. **Recommendations** For Modoboa modoboa-dmarc plugin version 1.1.0, consider disabling the DMARC reporting functionality until a patch is available to prevent exploitation. Restrict access to the XML processing module to minimize the risk of denial of service attacks. Avoid using the rua field in DMARC records to receive XML documents from untrusted sources.