Shadowbyte1

**Nome do Software Vulnerável e Versões Afetadas** Prometheus versões anteriores a 3.5.3 Prometheus versões anteriores a 3.11.3 **Descrição** O Prometheus é um sistema de monitoramento de código aberto e um banco de dados de séries temporais. O endpoint de leitura remota "/api/v1/read" não valida o comprimento decodificado declarado em um corpo de requisição compactado com snappy antes de alocar memória. Um invasor não autenticado pode enviar um payload pequeno que causa uma grande alocação de heap por requisição, o que pode esgotar a memória disponível e travar o processo do Prometheus sob carga concorrente. **Recomendações** Atualizar para a versão 3.5.3. Atualizar para a versão 3.11.3.

**Nome do Software Vulnerável e Versões Afetadas** Codazon Magento Themes versões 1.1.0.0 até 2.4.7 **Descrição** Existe uma vulnerabilidade de cross-site scripting (XSS) refletido no Codazon Magento Themes. Isso permite que atacantes executem JavaScript arbitrário no navegador de um usuário injetando um payload manipulado no parâmetro `cat`. O ataque é refletido, o que significa que o script malicioso é executado quando um usuário interage com um link especialmente manipulado. **Recomendações** Atualize o Codazon Magento Themes para uma versão superior à 2.4.7.

**Nome do Software Vulnerável e Versões Afetadas** Versões 6.313.0 a 6.314.0 do Neto CMS **Descrição** Existe uma falha de injeção CRLF no Neto CMS. Este problema permite que atacantes potencialmente executem código arbitrário ao enviar uma solicitação HTTP especialmente elaborada. A vulnerabilidade deve-se à validação de entrada insuficiente, especificamente em relação aos caracteres de retorno de carro e avanço de linha. **Recomendações** Atualize o Neto CMS para uma versão superior à 6.314.0.

**Nome do Software Vulnerável e Versões Afetadas** versões do podofo de 0.10.0 a 0.10.5 **Descrição** Existe um problema de uso de heap após liberação na função `PdfTokenizer::ReadDictionary`. Isso permite que atacantes potencialmente causem uma Negação de Serviço (DoS) ao fornecerem um arquivo PDF especialmente construído. **Recomendações** Atualize o podofo para uma versão superior a 0.10.5.

**Nome do Software Vulnerável e Versões Afetadas** Versões do Poppler de 24.06.1 a 25.04.0 **Descrição** O software está suscetível a um problema de consumo de pilha que leva a um sinal SIGSEGV. Isso ocorre ao processar documentos PDF contendo estruturas profundamente aninhadas em seus metadados, como o campo `GTS PDFEVersion`. O problema está presente em funções incluindo `Dict::lookup`, `Catalog::getMetadata` e funções relacionadas dentro de `PDFDoc`, especificamente devido à recursão profunda no executor de expressões regulares (`std:: detail:: Executor`). **Recomendações** Atualize para a versão 25.04.0 ou posterior.

**Nome do software vulnerável e versões afetadas** Sistema de Gestão de Veículos, versões 1.0 a 1.3 **Descrição** O problema diz respeito a uma vulnerabilidade de injeção de SQL. Um usuário convidado pode explorar parâmetros POST vulneráveis em várias ações administrativas, como reservar um veículo ou confirmar uma reserva. Os parâmetros afetados incluem `Booking ID`, `Action Name` e `Payment Confirmation ID`, que estão presentes em “/newvehicle.php” e “/newdriver.php”. **Recomendações** Para as versões 1.0 a 1.3 do Sistema de Gerenciamento de Veículos, considere desativar os parâmetros vulneráveis `Booking ID`, `Action Name` e `Payment Confirmation ID` nos endpoints de API afetados “/newvehicle.php” e “/newdriver.php” até que um patch esteja disponível. Restrinja o acesso a esses endpoints para minimizar o risco de exploração. Evite usar os parâmetros vulneráveis em ações administrativas até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Sistema de Gestão de Veículos versão 1.0 **Descrição** O problema é uma vulnerabilidade de tipo Stored Cross-Site Scripting (XSS) no parâmetro `Name` do endpoint da API “/vehicle-management/booking.php”. Isso permite que scripts maliciosos sejam armazenados e executados no sistema. **Recomendações** Para o Sistema de Gerenciamento de Veículos versão 1.0, considere desativar o parâmetro `Name` no endpoint da API “/vehicle-management/booking.php” até que uma correção esteja disponível. Restrinja o acesso a este endpoint para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Sistema de Gestão de Aluguel de Veículos, versões 1.0 a 1.3 **Descrição** A vulnerabilidade permite que invasores executem código arbitrário por meio do upload de um arquivo malicioso, explorando uma falha de segurança que permite o upload arbitrário de arquivos por usuários autenticados. **Recomendações** Para as versões 1.0 a 1.3, considere desativar o recurso de upload de arquivos até que uma correção esteja disponível para impedir a exploração. Restrinja o acesso ao módulo de upload de arquivos para minimizar o risco de execução de código arbitrário. Evite usar a funcionalidade de upload de arquivos no sistema afetado até que o problema seja resolvido.