Rasmus Petersen

**Name of the Vulnerable Software and Affected Versions** mechanize versions prior to 0.4.6 **Description** The mechanize library, used for automatically interacting with HTTP web servers, contains a regular expression vulnerable to regular expression denial of service (ReDoS). If a web server responds maliciously, mechanize could crash. **Recommendations** For versions prior to 0.4.6, update to version 0.4.6 to resolve the issue. As a temporary workaround, consider restricting interactions with potentially malicious web servers until the patch is applied.

**Nome do software vulnerável e versões afetadas** Versões do Zulip anteriores à 4.7 **Descrição** O Zulip é um servidor de chat em equipe de código aberto que permite aos administradores da organização configurar “linkifiers”, os quais criam automaticamente links a partir de mensagens enviadas pelos usuários, detectadas por meio de expressões regulares arbitrárias. Administradores mal-intencionados da organização poderiam sujeitar o servidor a um ataque de negação de serviço (DoS) por meio de ataques de complexidade de expressões regulares, configurando uma expressão regular de tempo quadrático em um linkifier e enviando mensagens que a explorassem. A expressão regular tentava analisar as expressões regulares fornecidas pelo usuário para verificar se estavam a salvo de ReDoS, mas isso era insuficiente e, por si só, sujeito a ReDoS se o administrador da organização inserisse uma expressão regular inválida suficientemente complexa. **Recomendações** Para versões anteriores à 4.7, atualize para o Zulip 4.7 recém-lançado ou mude para o ramo `main` para resolver o problema. Como solução temporária, considere restringir a capacidade dos administradores da organização de configurar linkifiers até que a atualização seja aplicada.

**Nome do software vulnerável e versões afetadas** Versões do Apprise anteriores à 0.9.5.1 **Descrição** O problema afeta usuários do Apprise que concederam acesso ao plugin IFTTT, tornando-os suscetíveis a um ataque de negação de serviço devido a uma expressão regular ineficiente. A expressão regular vulnerável está localizada no arquivo NotifyIFTTT.py. Este problema foi corrigido na versão 0.9.5.1. **Recomendações** Para versões anteriores à 0.9.5.1, atualize para o Apprise v0.9.5.1 executando `pip install apprise==0.9.5.1`. Como solução alternativa temporária para usuários que não conseguem atualizar, considere remover o arquivo `apprise/plugins/NotifyIFTTT.py` para eliminar o serviço vulnerável, embora isso desative a funcionalidade de notificação do IFTTT.