Richardoc

**Nome do Software Vulnerável e Versões Afetadas** Versões 1.0.1 e anteriores do Skill-scanner **Descrição** O Skill Scanner é um scanner de segurança para Habilidades de Agentes de IA projetado para detectar injeção de prompt, exfiltração de dados e padrões de código malicioso. Uma falha no componente do Servidor de API poderia permitir que um atacante remoto não autenticado interagisse com a API do servidor. Essa interação poderia resultar em uma condição de negação de serviço (DoS) ou no upload de arquivos arbitrários. A causa raiz deste problema é uma vinculação incorreta a múltiplas interfaces. Um atacante pode explorar isso enviando solicitações de API para um dispositivo que expõe o Servidor de API afetado. Uma exploração bem-sucedida poderia levar ao consumo excessivo de recursos (esgotamento de memória) ou uploads de arquivos não autorizados para pastas arbitrárias no dispositivo comprometido. O Servidor de API não está habilitado por padrão. **Recomendações** Atualize para a versão 1.0.2 ou posterior do Skill-scanner para resolver este problema.

Name of the Vulnerable Software and Affected Versions: screenshot-desktop versions prior to 1.15.2 Description: screenshot-desktop is susceptible to a command injection issue. User-controlled input provided to the `format` option of the screenshot function is interpolated into a shell command without proper sanitization, leading to arbitrary command execution with the privileges of the calling process. Recommendations: Update to version 1.15.2 or later.

**Nome do Software Vulnerável e Versões Afetadas** kube-audit-rest versões anteriores a 1.0.16 **Descrição** O problema diz respeito a um logger simples de solicitações de mutação/criação para a API do k8s, no qual os valores anteriores dos secrets do Kubernetes poderiam ser divulgados nas mensagens de auditoria caso a configuração de exemplo do vector "full-elastic-stack" fosse utilizada em um cluster real. **Recomendações** Para versões anteriores a 1.0.16, atualize para a versão 1.0.16 para corrigir o problema. Como solução temporária, substitua a configuração existente na etapa do vector "audit-files-json-parser-and-redaction" pela configuração atualizada que ofusca dados secretos e remove dados secretos definidos anteriormente.

**Nome do software vulnerável e versões afetadas** Biblioteca AuthKit para versões do Next.js anteriores à 0.13.2 **Descrição** O problema diz respeito ao registro de tokens de atualização no console quando o sinalizador `debug` está ativado. Esse sinalizador vem desativado por padrão. Não há soluções alternativas conhecidas para este problema. **Recomendações** Para versões anteriores à 0.13.2, atualize para a versão 0.13.2 para resolver o problema. Como solução alternativa temporária, considere desativar o sinalizador `debug` até que a atualização seja aplicada.