Popax21

**Nome do Software Vulnerável e Versões Afetadas** Astro versões anteriores a 6.1.10 **Descrição** A criptografia AES-GCM usada para proteger a confidencialidade e a integridade dos parâmetros de props e slots de server islands não vinculava o texto cifrado ao seu componente ou tipo de parâmetro pretendido. Isso permite que um invasor repita o valor criptografado de props (`p`) de um componente como o valor de slots (`s`) de outro componente, ou vice-versa. Como os slots contêm HTML bruto não escapado, enquanto as props podem conter valores controlados pelo usuário, isso pode levar ao Cross-Site Scripting (XSS), uma técnica onde scripts maliciosos são injetados em sites confiáveis. Este problema ocorre quando uma aplicação utiliza server islands, dois componentes de server island diferentes compartilham o mesmo nome de chave para uma prop e um slot, e um invasor tem controle total sobre o valor da prop sobreposta em uma página renderizada dinamicamente. **Recomendações** Atualizar para a versão 6.1.10.

**Nome do Software Vulnerável e Versões Afetadas** Versões do Google Chrome anteriores à 133.0.6943.98 **Descrição** O problema está relacionado a uma vulnerabilidade de uso após liberação (use-after-free) no mecanismo JavaScript V8, o que pode levar à corrupção de heap. Isso pode ser explorado por um atacante remoto utilizando uma página HTML especialmente elaborada, permitindo potencialmente a execução arbitrária de código ou negação de serviço. **Recomendações** Para versões do Google Chrome anteriores à 133.0.6943.98, atualize para a versão 133.0.6943.98 ou posterior para resolver o problema. Como medida de contorno temporária, considere restringir o acesso a páginas web potencialmente vulneráveis até que a atualização seja aplicada.

**Nome do Software Vulnerável e Versões Afetadas** Versões do Chromium anteriores a 131.0.6778.264 Versões do Chromium-GOST anteriores a 134.0.6998.88-alt1 Versões do Yandex-Browser-Stable 24.12.4.1097-alt1 e 25.2.4.1000-alt1 **Descrição** Existe um problema de confusão de tipos no mecanismo JavaScript V8 usado no Google Chrome e no Microsoft Edge. Esta falha poderia permitir que um atacante remoto executasse código arbitrário dentro de uma sandbox ao criar uma página HTML maliciosa. A vulnerabilidade está relacionada a erros na forma como os tipos de dados são manipulados. Um exploit de prova de conceito está disponível publicamente. **Recomendações** Versões do Chromium anteriores a 131.0.6778.264: Atualize para a versão 131.0.6778.264 ou posterior. Versões do Chromium-GOST anteriores a 134.0.6998.88-alt1: Atualize para a versão 134.0.6998.88-alt1 ou posterior. Versões do Yandex-Browser-Stable anteriores a 24.12.4.1097-alt1 e 25.2.4.1000-alt1: Atualize para a versão 24.12.4.1097-alt1 ou 25.2.4.1000-alt1 ou posterior.

Nome do software vulnerável e versões afetadas: Versões do Google Chrome anteriores à 129.0.6668.58 Versões do Microsoft Edge (versões afetadas não especificadas) Descrição: O problema está relacionado a um erro de confusão de tipos no motor JavaScript V8, que pode ser explorado por um invasor remoto por meio de uma página HTML especialmente criada. Isso poderia potencialmente levar à corrupção da pilha (heap), afetando a confidencialidade, integridade e disponibilidade das informações protegidas. Recomendações: Para versões do Google Chrome anteriores à 129.0.6668.58, atualize para a versão 129.0.6668.58 ou posterior para resolver o problema. Para o Microsoft Edge, no momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.