Scyoon

**Nome do software vulnerável e versões afetadas** Versões do Action Pack 4.0.0 a 6.1.7.8 Versões do Action Pack 7.0.0 a 7.0.8.4 Versões do Action Pack 7.1.0 a 7.1.4.0 Versões do Action Pack 7.2.0 a 7.2.1.0 **Descrição** O problema está relacionado a uma vulnerabilidade ReDoS na autenticação por token HTTP do Action Controller, que pode fazer com que a análise do cabeçalho demore um tempo inesperado, possivelmente resultando em uma vulnerabilidade DoS. Isso pode ser explorado por um invasor remoto, permitindo que ele cause uma negação de serviço. Para aplicativos que utilizam autenticação por token HTTP via `authenticate or request with http token` ou similar, um cabeçalho cuidadosamente elaborado pode causar o problema. **Recomendações** Para as versões do Action Pack de 4.0.0 a 6.1.7.8, atualize para a versão 6.1.7.9 ou aplique o patch relevante. Para as versões do Action Pack de 7.0.0 a 7.0.8.4, atualize para a versão 7.0.8.5 ou aplique o patch relevante. Para as versões do Action Pack 7.1.0 a 7.1.4.0, atualize para a versão 7.1.4.1 ou aplique o patch relevante. Para as versões do Action Pack 7.2.0 a 7.2.1.0, atualize para a versão 7.2.1.1 ou aplique o patch relevante. Como solução alternativa temporária, considere usar o Ruby 3.2 ou mais recente, pois ele oferece medidas de mitigação para esse problema.

**Nome do software vulnerável e versões afetadas** Versões do Action Pack 3.1.0 a 6.1.7.8 Versões do Action Pack 7.0.0 a 7.0.8.4 Versões do Action Pack 7.1.0 a 7.1.4.0 Versões do Action Pack 7.2.0 a 7.2.1.0 **Descrição** O problema está relacionado a uma possível vulnerabilidade ReDoS nas rotinas de filtragem de parâmetros de consulta do Action Dispatch. Parâmetros de consulta cuidadosamente elaborados podem fazer com que a filtragem demore um tempo inesperado, possivelmente resultando em uma vulnerabilidade DoS. Isso pode ser explorado por um invasor remoto para causar uma negação de serviço. **Recomendações** Para as versões do Action Pack 3.1.0 a 6.1.7.8, atualize para a versão 6.1.7.9 ou aplique o patch relevante imediatamente. Para as versões do Action Pack 7.0.0 a 7.0.8.4, atualize para a versão 7.0.8.5 ou aplique o patch relevante imediatamente. Para as versões do Action Pack 7.1.0 a 7.1.4.0, atualize para a versão 7.1.4.1 ou aplique o patch relevante imediatamente. Para as versões do Action Pack 7.2.0 a 7.2.1.0, atualize para a versão 7.2.1.1 ou aplique o patch relevante imediatamente. Como solução alternativa temporária, considere usar o Ruby 3.2, que possui medidas de mitigação para este problema.

**Nome do software vulnerável e versões afetadas** Versões da gem REXML anteriores à 3.3.3 **Descrição** A gem REXML apresenta algumas vulnerabilidades de DoS ao analisar um XML que contenha muitos caracteres específicos, como caracteres de espaço em branco, `&gt;` e `]&gt;`, ou `<`, `0` e `%>`. Essa vulnerabilidade está relacionada ao consumo descontrolado de recursos e pode ser explorada por um invasor remoto para causar uma negação de serviço. Se você precisar analisar XMLs não confiáveis, poderá ser afetado por essas vulnerabilidades. **Recomendações** Para versões da gem REXML anteriores à 3.3.3, atualize para a versão 3.3.3 ou posterior para corrigir essas vulnerabilidades. Como solução temporária, considere não analisar XMLs não confiáveis para minimizar o risco de exploração. Restringir a análise de XMLs com muitos caracteres específicos também pode ajudar a mitigar o problema.