Robert Mclaughlin

**Nome do software vulnerável e versões afetadas** ansi-html (versões afetadas não especificadas) **Descrição** O problema ocorre quando um invasor insere uma sequência de caracteres maliciosa, fazendo com que o sistema fique travado ao processar a entrada por um período extremamente longo. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** trim-off-newlines (versões afetadas não especificadas) **Descrição** O problema diz respeito a uma negação de serviço por expressão regular (ReDoS) por meio do processamento de strings. Isso significa que o software está vulnerável a um tipo de ataque em que um invasor pode fazer com que o software consuma recursos excessivos, fornecendo uma entrada especialmente criada para provocar uma negação de serviço. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Versões do ws anteriores à 7.4.6 Versões do ws anteriores à 6.2.2 Versões do ws anteriores à 5.2.3 **Descrição** Um valor especialmente criado do cabeçalho `Sec-Websocket-Protocol` pode ser usado para desacelerar significativamente um servidor ws, levando potencialmente a uma negação de serviço. O problema está relacionado à interpretação incorreta do cabeçalho `Sec-Websocket-Protocol`. **Recomendações** Para versões do ws anteriores à 7.4.6, atualize para ws@7.4.6 ou posterior. Para versões do ws anteriores à 6.2.2, atualize para ws@6.2.2 ou posterior. Para versões do ws anteriores à 5.2.3, atualize para ws@5.2.3 ou posterior. Como solução alternativa temporária, considere reduzir o comprimento máximo permitido dos cabeçalhos de solicitação usando as opções `--max-http-header-size=size` e/ou `maxHeaderSize`.

**Nome do software vulnerável e versões afetadas** Versões do módulo Ruby `websocket-extensions` anteriores à 0.1.5 **Descrição** A vulnerabilidade permite um ataque de Negação de Serviço (DoS) por meio de backtracking de expressões regulares (Regex). Um invasor pode explorar essa vulnerabilidade enviando uma carga maliciosa com o cabeçalho Sec-WebSocket-Extensions, contendo um valor de parâmetro de string não fechado com uma sequência repetitiva de dois bytes composta por uma barra invertida e algum outro caractere. Isso pode esgotar a capacidade do servidor de processar solicitações recebidas, tornando o serviço completamente indisponível, especialmente em servidores de thread único. **Recomendações** Para versões anteriores à 0.1.5, atualize para a versão 0.1.5 para resolver a vulnerabilidade. Como solução temporária, considere desativar qualquer funcionalidade WebSocket voltada para o público até que a atualização seja aplicada.