Seongil Wi

**Nome do software vulnerável e versões afetadas** Versões do Firefox anteriores à 122 Versões do Firefox ESR anteriores à 115.7 Versões do Thunderbird anteriores à 115.7 **Descrição** O problema está relacionado a erros nas configurações de segurança, permitindo que um invasor remoto contorne as restrições de segurança e modifique a Política de Segurança de Conteúdo (CSP) em ambientes isolados de iframe do Mozilla Firefox, Firefox ESR e do cliente de e-mail Thunderbird. Especificamente, quando uma página pai carrega uma página filha em um iframe com `unsafe-inline`, a Política de Segurança de Conteúdo da página pai pode substituir a Política de Segurança de Conteúdo da página filha. **Recomendações** Para versões do Firefox anteriores à 122, atualize para a versão 122 ou posterior para resolver o problema. Para versões do Firefox ESR anteriores à 115.7, atualize para a versão 115.7 ou posterior para resolver o problema. Para versões do Thunderbird anteriores à 115.7, atualize para a versão 115.7 ou posterior para resolver o problema. Como solução alternativa temporária, considere restringir o uso do atributo `unsafe-inline` em iframes para minimizar o risco de exploração.

**Name of the Vulnerable Software and Affected Versions** vm2 versions prior to 3.9.15 **Description** The issue is related to the incorrect handling of objects in memory by the Error.prepareStackTrace object in the vm2 library of the NPM package manager. This can allow a remote attacker to bypass sandbox protections and gain remote code execution rights on the host running the sandbox. The `Error.prepareStackTrace` function is vulnerable when handling host objects passed in case of unhandled async errors. **Recommendations** For versions prior to 3.9.15, update to version 3.9.15 or later to patch the vulnerability. As a temporary workaround, consider restricting access to the `Error.prepareStackTrace` function until a patch is available.

**Nome do software vulnerável e versões afetadas** ICEcoder versão 8.0 **Descrição** Foi identificada uma vulnerabilidade de XSS refletido na página multipe-results.php devido à sanitização insuficiente da variável `replace`. Isso permite a execução de código JavaScript arbitrário, possibilitando que invasores remotos realizem ataques de cross-site scripting. **Recomendações** Para o ICEcoder versão 8.0, considere desativar o acesso à página multipe-results.php ou restringir o uso da variável `replace` até que uma correção esteja disponível. Além disso, garanta a sanitização adequada das entradas do usuário para evitar explorações. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.