Sharokhataie

**Nome do Software Vulnerável e Versões Afetadas** qs (versões afetadas não especificadas) **Descrição** A opção `arrayLimit` na biblioteca qs não impõe corretamente os limites ao analisar valores separados por vírgula com a opção `comma` habilitada. Isso permite que atacantes potencialmente causem uma condição de negação de serviço (DoS) esgotando os recursos de memória. O problema surge porque a verificação do limite ocorre após a lógica de tratamento de vírgulas, permitindo contornar a restrição de tamanho do array pretendida. Especificamente, a função `split(',')` retorna o array imediatamente, ignorando a verificação de limite subsequente. Um atacante pode enviar um único parâmetro contendo um grande número de vírgulas (por exemplo, `?param=,,,,,,,,...`) para alocar um array massivo na memória, contornando a configuração `arrayLimit`. O código vulnerável está localizado em `lib/parse.js`, linhas 40-50. A verificação `arrayLimit` é contornada quando a opção `comma` está definida como true. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** Versões do Deno anteriores à 2.5.6 **Descrição** O Deno é um ambiente de execução para JavaScript, TypeScript e WebAssembly. Uma tentativa anterior de impedir a execução de arquivos batch e shell do Windows verificando as extensões de arquivo (.bat ou .cmd) foi ineficaz devido a uma comparação sensível a maiúsculas e minúsculas. Isso permitiu contornar a restrição usando variações de maiúsculas e minúsculas na extensão do arquivo (por exemplo, .BAT, .Bat). O problema foi corrigido na versão 2.5.6. **Recomendações** Atualize para a versão 2.5.6 ou posterior do Deno.