Sebastianosrt

Nome do Software Vulnerável e Versões Afetadas Haraka versões anteriores a 3.1.4 Descrição O Haraka, um servidor de e-mail Node.js, é suscetível a uma falha ao processar e-mails que contenham o cabeçalho ' proto ':. Isso ocorre porque o analisador de cabeçalho armazena os cabeçalhos em um objeto simples e, quando a chave é ' proto ', ele tenta chamar a função 'push' no protótipo Object, resultando em um TypeError. No modo de processo único, essa falha encerra todo o servidor. No modo de cluster, o processo mestre reinicia o worker, levando à perda de sessão. Recomendações Atualize o Haraka para a versão 3.1.4 ou posterior.

Nome do Software Vulnerável e Versões Afetadas Versões do Qwik até e incluindo a 1.19.0 Descrição O Qwik é suscetível à Execução Remota de Código (RCE) devido a um problema de desserialização insegura dentro do mecanismo RPC `server$`. Isso permite que qualquer usuário não autenticado execute código arbitrário no servidor com uma única requisição HTTP. O problema afeta implantações em que a função require() está disponível em tempo de execução. Foram identificados aproximadamente 46.000 serviços que utilizam o Qwik. O mecanismo RPC `server$` é o componente diretamente envolvido neste problema. Recomendações Atualize para a versão 1.19.1 do Qwik ou posterior.

**Nome do Software Vulnerável e Versões Afetadas** Versões do Parse Server anteriores a 8.6.3 Versões do Parse Server anteriores a 9.1.1-alpha.4 **Descrição** O Parse Server está suscetível a uma vulnerabilidade de segurança na qual um atacante não autenticado pode criar um token de autenticação do Google forjado utilizando `alg: "none"` para obter acesso como qualquer usuário associado a uma conta do Google, sem precisar de suas credenciais. Todas as implantações que utilizam autenticação do Google estão potencialmente afetadas. O problema decorre da confiança no cabeçalho JWT e do uso de um buscador de chaves personalizado que aceitava IDs de chave desconhecidos. **Recomendações** Versões anteriores a 8.6.3 devem ser atualizadas para a versão 8.6.3 ou posterior. Versões anteriores a 9.1.1-alpha.4 devem ser atualizadas para a versão 9.1.1-alpha.4 ou posterior. Como solução temporária, desative a autenticação do Google até que uma atualização seja possível.

**Nome do Software Vulnerável e Versões Afetadas** Versões do Http4s de 1.0.0-M1 a 1.0.0-M44 Versões do Http4s anteriores a 0.23.31 **Descrição** O Http4s é vulnerável a Contrabando de Requisição HTTP (HTTP Request Smuggling) devido ao tratamento incorreto da seção de trailer HTTP. Isso pode permitir que atacantes contornem medidas de segurança do servidor front-end, realizem ataques contra usuários atuais e corrompam caches web. A exploração requer que a aplicação web seja implantada atrás de um proxy reverso que encaminha cabeçalhos de trailer. **Recomendações** Atualize para o Http4s versão 1.0.0-M45 ou posterior. Atualize para o Http4s versão 0.23.31 ou posterior.

Nome do Software Vulnerável e Versões Afetadas: Versões do h2 anteriores a 4.3.0 Descrição: O h2 é uma implementação em Python puro de uma pilha de protocolos HTTP/2. Uma falha de divisão de requisição permite que atacantes realizem ataques de contrabando de requisição injetando caracteres CRLF nos cabeçalhos. Isso ocorre quando os servidores rebaixam requisições HTTP/2 para HTTP/1.1 sem validar adequadamente os nomes/valores dos cabeçalhos, permitindo que atacantes manipulem os limites da requisição e contornem controles de segurança. Recomendações: Atualize para a versão 4.3.0 ou posterior.

**Nome do Software Vulnerável e Versões Afetadas** Versões do Eventlet anteriores a 0.40.3 **Descrição** O parser WSGI do Eventlet está suscetível a Contrabando de Requisição HTTP devido ao tratamento inadequado de seções de trailer HTTP. Este problema poderia permitir que atacantes contornassem controles de segurança de front-end, lançassem ataques direcionados contra usuários ativos do site e envenenassem caches web. **Recomendações** Atualize para a versão 0.40.3 ou posterior do Eventlet. Como solução alternativa, evite usar o Eventlet WSGI ao lidar com clientes não confiáveis.