Robrwo

**Nome do Software Vulnerável e Versões Afetadas** Text::LineFold versões anteriores a 2019.002 **Descrição** O Text::LineFold divide strings de entrada em segmentos usando caracteres de quebra de linha específicos, como Tabulação Vertical (VT) e Avanço de Página (FF). No entanto, a função de quebra é aplicada a toda a string em vez de segmentos individuais, fazendo com que a entrada completa seja duplicada para cada segmento identificado. Esse comportamento pode resultar em consumo excessivo de recursos e em uma potencial negação de serviço. **Recomendações** Atualize para uma versão posterior a 2019.001.

**Nome do Software Vulnerável e Versões Afetadas** Plack::Middleware::Statsd versões anteriores a 0.9.0 **Descrição** O Plack::Middleware::Statsd para Perl pode vazar endereços IP de usuários. Isso ocorre se o canal de comunicação com o daemon statsd não estiver seguro, como ao enviar pacotes UDP para um host em outra rede. **Recomendações** Atualize para a versão 0.9.0 ou posterior.

**Nome do Software Vulnerável e Versões Afetadas** Catalyst::Plugin::Statsd versões anteriores a 0.10.0 **Descrição** O Catalyst::Plugin::Statsd para Perl pode vazar IDs de sessão. Isso ocorre se o canal de comunicação com o daemon statsd não estiver seguro, como ao enviar pacotes UDP para um host em outra rede. Um invasor poderia potencialmente usar esses IDs de sessão vazados como tokens de autenticação. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** Text::Minify::XS versões 0.3.0 até 0.7.7 **Descrição** Ocorre um estouro de heap (heap overflow) ao processar certos caracteres UTF-8 malformados. A função `minify()` e seu alias `minify utf8()` manipulam incorretamente esses caracteres, levando à corrupção do heap. **Recomendações** Atualize para a versão 0.7.8 ou posterior.

**Nome do Software Vulnerável e Versões Afetadas** Authen::SASL::Perl::DIGEST MD5 versões 2.04 a 2.1800 **Descrição** O `cnonce` (nonce do cliente) é gerado de forma insegura a partir de um hash MD5 do PID, do tempo epoch e da função embutida `rand`. O PID origina-se de um conjunto limitado de números, e o tempo epoch pode ser previsível. A função `rand` não é adequada para fins criptográficos. De acordo com a RFC 2831, o `cnonce` deve conter pelo menos 64 bits de entropia para prevenir ataques de texto plano escolhido e garantir autenticação mútua. **Recomendações** Versões anteriores à 2.1800 são afetadas. Atualize para uma versão posterior à 2.1800.

Nome do Software Vulnerável e Versões Afetadas: Catalyst::Authentication::Credential::HTTP versões 1.018 e anteriores Descrição: O software gera nonces utilizando a biblioteca Perl Data::UUID, que não emprega uma fonte criptográfica forte para a geração de UUID. A Data::UUID retorna UUIDs v3, que são derivados de informações conhecidas e são inadequados para fins de segurança, conforme definido na RFC 9562. Os nonces devem ser gerados utilizando uma fonte criptográfica forte, conforme especificado na RFC 7616. Recomendações: Atualize o Catalyst::Authentication::Credential::HTTP para uma versão posterior à 1.018.

Nome do software vulnerável e versões afetadas: Versões do módulo Mojolicious de 1.74 a 8.64 Descrição: O problema está relacionado a uma vulnerabilidade de ataque de temporização na função `secure compare()` do módulo Mojolicious para Perl. Essa vulnerabilidade permite que um invasor manipule entradas desconhecidas, levando a uma discrepância de temporização que pode ser explorada para adivinhar o comprimento de uma sequência secreta. O invasor pode agir remotamente para explorar essa vulnerabilidade. Recomendações: Para as versões 1.74 a 8.64, atualize para a versão 8.65 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso à função `secure compare()` até que um patch esteja disponível.