Sam Saffron

**Nome do software vulnerável e versões afetadas: versões do message bus anteriores à 3.3.7 Descrição: O problema é um bug de traversal de caminho que pode levar à divulgação de informações confidenciais em uma máquina caso um usuário não autorizado obtenha acesso à rota de diagnóstico. Esse bug afeta implantações com recursos de diagnóstico ativados, que por padrão estão desativados. O impacto é maior se não houver um proxy para a aplicação web, pois o número de níveis de diretórios a subir não é limitado. Para implantações que utilizam um proxy, o impacto varia. Por exemplo, se uma solicitação passar por um proxy como o Nginx com `merge slashes` ativado, o número de níveis de diretórios que podem ser lidos é limitado a 3 níveis. Recomendações: Para versões anteriores à 3.3.7, atualize para a versão 3.3.7 para resolver o problema. Como solução alternativa temporária, considere desativar o MessageBus::Diagnostics em ambientes de produção até que um patch seja aplicado.

**Name of the Vulnerable Software and Affected Versions** rack-mini-profiler gem versions prior to 0.10.1 **Description** The issue allows remote attackers to obtain sensitive information about allocated strings and objects by leveraging incorrect ordering of security checks in the rack-mini-profiler gem for Ruby. **Recommendations** For versions prior to 0.10.1, update to version 0.10.1 or later to resolve the issue.