Posix

**Nome do software vulnerável e versões afetadas** Versões do wire-webapp anteriores à 2022-03-30-production.0 **Descrição** O problema está relacionado à falta de escapamento adequado no “destacamento de código” do Markdown no wire-webapp, o que permite a injeção e execução de código HTML arbitrário e, consequentemente, também de JavaScript. Se um usuário receber e visualizar uma mensagem maliciosa, código arbitrário será injetado e executado no contexto da vítima, permitindo que o invasor assuma o controle total da conta do usuário. Clientes wire-desktop conectados a uma versão vulnerável do wire-webapp também estão sujeitos a esse ataque. **Recomendações** Para versões do wire-webapp anteriores à 2022-03-30-production.0, atualize para a tag do Docker 2022-03-30-production.0-v0.29.2-0-d144552 ou para o wire-server 2022-03-30 (chart/4.8.0) para resolver o problema. Como solução temporária, considere restringir o acesso ao recurso de “destaque de código” do Markdown até que a atualização seja aplicada.

**Nome do software vulnerável e versões afetadas** Versões do pathval anteriores à 1.1.1 **Descrição** O problema está relacionado à contaminação de protótipos, que afeta o pacote pathval. Esse tipo de problema pode ocorrer quando um aplicativo não valida adequadamente as entradas do usuário, permitindo que um invasor contamine o protótipo de um objeto, o que pode levar a vulnerabilidades de segurança. **Recomendações** Para versões anteriores à 1.1.1, atualize para a versão 1.1.1 ou posterior para resolver o problema. Como solução temporária, considere implementar a validação de entradas para evitar a poluição de protótipos. Restrinja o acesso a funções e variáveis confidenciais para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Versões do json-pointer anteriores à 0.6.1 **Descrição** A vulnerabilidade afeta o pacote json-pointer, no qual são permitidas múltiplas referências a um objeto por meio do uso de uma barra. **Recomendações** Para versões anteriores à 0.6.1, atualize para a versão 0.6.1 ou posterior para resolver o problema.