Secdevlpr26

**Nome do software vulnerável e versões afetadas** kangax html-minifier versão 4.0.0 **Descrição** Foi identificada uma falha de negação de serviço por expressão regular (ReDoS) na variável `candidate` no arquivo htmlminifier.js. Esse problema pode causar uma negação de serviço. **Recomendações** Para o kangax html-minifier versão 4.0.0, considere desativar a variável `candidate` no arquivo htmlminifier.js como uma solução temporária até que um patch esteja disponível. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** browserify-shim versão 3.8.15 **Descrição** O problema está relacionado a uma vulnerabilidade de contaminação de protótipos na função `resolveShims`, localizada no arquivo `resolve-shims.js`. Essa vulnerabilidade pode ser explorada por meio da variável `shimPath` no arquivo `resolve-shims.js`. **Recomendações** Para a versão 3.8.15 do browserify-shim, considere atualizar para uma versão mais recente que contenha uma correção para este problema, se disponível. Como solução temporária, considere restringir o acesso à função `resolveShims` para minimizar o risco de exploração. Evite usar a variável `shimPath` no arquivo `resolve-shims.js` afetado até que o problema seja resolvido.

**Nome do software vulnerável e versões afetadas** browserify-shim versão 3.8.15 **Descrição** O problema está relacionado a uma vulnerabilidade de poluição de protótipos na função `resolveShims`, localizada em `resolve-shims.js`. Essa vulnerabilidade pode ser explorada por meio da variável `fullPath` em `resolve-shims.js`. **Recomendações** Para a versão 3.8.15 do browserify-shim, considere atualizar para uma versão mais recente que contenha uma correção para este problema, se disponível. Como solução temporária, considere restringir o acesso à função `resolveShims` em `resolve-shims.js` para minimizar o risco de exploração. Evite usar a variável `fullPath` no arquivo `resolve-shims.js` afetado até que o problema seja resolvido.

**Nome do software vulnerável e versões afetadas** webpack loader-utils versão 2.0.0 versões do webpack loader-utils anteriores à 1.4.2 versões do webpack loader-utils anteriores à 2.0.4 versões do webpack loader-utils anteriores à 3.2.1 **Descrição** Foi encontrada uma falha de negação de serviço por expressão regular (ReDoS) na função `interpolateName` no arquivo `interpolateName.js` do webpack loader-utils, por meio da variável `url`. Uma string mal formada ou criada com intenção maliciosa poderia ser usada para enviar solicitações manipuladas que causariam a falha do sistema ou levariam um tempo desproporcional para serem processadas. **Recomendações** Para a versão 2.0.0, atualize para a versão 2.0.4 ou posterior para resolver o problema. Para versões anteriores à 1.4.2, atualize para a versão 1.4.2 ou posterior para resolver o problema. Para versões anteriores à 3.2.1, atualize para a versão 3.2.1 ou posterior para resolver o problema. Como solução alternativa temporária, considere restringir o uso da função `interpolateName` no arquivo `interpolateName.js` até que um patch seja aplicado. Evite usar a variável `url` no arquivo `interpolateName.js` afetado até que o problema seja resolvido.

**Nome do software vulnerável e versões afetadas** karma-runner grunt-karma versão 4.0.1 **Descrição** O problema está relacionado a uma vulnerabilidade de contaminação de protótipos no karma-runner grunt-karma. Ela ocorre por meio da variável `key` no arquivo `grunt-karma.js`. **Recomendações** Para a versão 4.0.1, considere restringir o acesso ao arquivo `grunt-karma.js` ou à variável `key` até que uma correção esteja disponível. Como solução temporária, evite usar a variável `key` no arquivo `grunt-karma.js` afetado para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** mockery.js (versões afetadas não especificadas) **Descrição** O problema está relacionado a uma vulnerabilidade de poluição de protótipos na função `enable` do `mockery.js`, especificamente no commit `822f0566fd6d72af8c943ae5ca2aa92e516aa2cf` do `mfncooper` `mockery`. Essa vulnerabilidade é explorada por meio da variável `key` no `mockery.js`. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** tschaub gh-pages versão 3.1.0 **Descrição** O problema está relacionado a uma vulnerabilidade de contaminação de protótipos. Ela é explorada por meio da variável `partial` no arquivo util.js. **Recomendações** Para o tschaub gh-pages versão 3.1.0, considere restringir o acesso à variável `partial` no util.js para minimizar o risco de exploração. Como solução temporária, evite usar a variável `partial` no util.js até que um patch esteja disponível.

**Nome do software vulnerável e versões afetadas** Versões do @xmldom/xmldom anteriores à 0.8.3 **Descrição** Existe uma vulnerabilidade de contaminação de protótipos na função `copy` do dom.js por meio da variável `p`. Esta questão é contestada pelo fornecedor e por alguns terceiros, tendo as tentativas de criar uma prova de conceito sido infrutíferas. **Recomendações** Atualize para @xmldom/xmldom@~0.7.6, @xmldom/xmldom@~0.8.3 ou @xmldom/xmldom@>=0.9.0-beta.2 para resolver o problema.

**Nome do software vulnerável e versões afetadas** thlorenz browserify-shim versão 3.8.15 **Descrição** O problema está relacionado a uma vulnerabilidade de contaminação de protótipos na função `resolveShims`, no arquivo resolve-shims.js do thlorenz browserify-shim. Essa vulnerabilidade é explorada por meio da variável `k` no arquivo resolve-shims.js. **Recomendações** Para o thlorenz browserify-shim versão 3.8.15, considere desativar a função `resolveShims` como uma solução temporária até que um patch esteja disponível. Restrinja o acesso ao arquivo resolve-shims.js para minimizar o risco de exploração. Evite usar a variável `k` na função afetada até que o problema seja resolvido.

**Nome do software vulnerável e versões afetadas** js-beautify versão 1.13.7 **Descrição** O problema está relacionado a uma vulnerabilidade de contaminação de protótipos. Ela afeta a biblioteca js-beautify, especificamente por meio da variável `name` no arquivo options.js. **Recomendações** Para a versão 1.13.7 do js-beautify, considere restringir o acesso à variável `name` no arquivo options.js para minimizar o risco de exploração até que um patch esteja disponível. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** stealjs, versão 2.2.4 **Descrição** Foi identificada uma falha de negação de serviço por expressão regular (ReDoS) no software, relacionada à variável `string` no arquivo `babel.js`. Esse problema pode causar uma negação de serviço. **Recomendações** Para a versão 2.2.4, considere restringir o acesso ao arquivo `babel.js` ou desativar o uso da variável `string` até que um patch esteja disponível. No momento, não há informações sobre uma versão mais recente que contenha uma correção para este problema.

**Nome do software vulnerável e versões afetadas** stealjs steal versão 2.2.4 **Descrição** O problema está relacionado a uma vulnerabilidade de contaminação de protótipos no stealjs steal, especificamente por meio da variável `alias` no babel.js. Essa vulnerabilidade pode ser explorada, mas não foram fornecidos detalhes sobre o número estimado de dispositivos potencialmente afetados em todo o mundo ou sobre incidentes reais. **Recomendações** Para o stealjs steal versão 2.2.4, considere desativar a variável `alias` no babel.js como uma solução temporária até que um patch esteja disponível. Restrinja o acesso ao módulo vulnerável para minimizar o risco de exploração. Evite usar a variável `alias` na configuração afetada até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** stealjs, versão 2.2.4 **Descrição** O problema está relacionado a uma vulnerabilidade de contaminação de protótipos na função `convertLater` do `npm-convert.js`, por meio da variável `packageName`. **Recomendações** Para o stealjs steal versão 2.2.4, considere desativar a função `convertLater` até que uma correção esteja disponível. Restrinja o acesso ao módulo `npm-convert.js` para minimizar o risco de exploração. Evite usar a variável `packageName` na função afetada até que o problema seja resolvido.

**Nome do software vulnerável e versões afetadas** stealjs, versão 2.2.4 **Descrição** Foi identificada uma falha de negação de serviço por expressão regular (ReDoS) nas variáveis `source` e `sourceWithComments` no arquivo main.js. Esse problema pode causar uma negação de serviço. **Recomendações** Para a versão 2.2.4, considere restringir o acesso às variáveis `source` e `sourceWithComments` no arquivo main.js para minimizar o risco de exploração. Evite usar essas variáveis até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** stealjs steal versão 2.2.4 **Descrição** O problema está relacionado a uma vulnerabilidade de contaminação de protótipos na função `extend` em `babel.js`, dentro do `stealjs steal`. Essa vulnerabilidade é explorada por meio da variável `key` em `babel.js`. **Recomendações** Para a versão 2.2.4, considere desativar a função `extend` em `babel.js` como uma solução temporária até que um patch esteja disponível. Restrinja o acesso à variável `key` no `babel.js` afetado para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** stealjs, versão 2.2.4 **Descrição** O problema está relacionado a uma vulnerabilidade de contaminação de protótipos na função `convertLater` em `npm-convert.js`. Essa vulnerabilidade é explorada por meio da variável `requestedVersion` em `npm-convert.js`. **Recomendações** Para o stealjs steal versão 2.2.4, considere desativar a função `convertLater` como uma solução temporária até que um patch esteja disponível. Restrinja o acesso ao arquivo `npm-convert.js` para minimizar o risco de exploração. Evite usar a variável `requestedVersion` na função `convertLater` afetada até que o problema seja resolvido.

**Nome do software vulnerável e versões afetadas** stealjs, versão 2.2.4 **Descrição** Foi identificada uma falha de negação de serviço por expressão regular (ReDoS) na variável `input` do arquivo main.js. Esse problema pode causar uma negação de serviço. **Recomendações** Para a versão 2.2.4, considere restringir a entrada para impedir a exploração da falha ReDoS até que um patch esteja disponível. Como solução temporária, evite usar a variável `input` no main.js para minimizar o risco de negação de serviço.

**Nome do software vulnerável e versões afetadas** stealjs steal versão 2.2.4 **Descrição** O problema está relacionado a uma vulnerabilidade de poluição de protótipos. Ela afeta o stealjs steal por meio da variável `optionName` no arquivo main.js. **Recomendações** Para o stealjs steal versão 2.2.4, considere restringir o acesso à variável `optionName` no arquivo main.js para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.