Slonser

**Nome do software vulnerável e versões afetadas** Microsoft Exchange Server (versões afetadas não especificadas) **Descrição** O problema está relacionado a uma vulnerabilidade de falsificação de identidade no Microsoft Exchange Server, que permite que invasores comprometam o sistema. Essa vulnerabilidade pode ser explorada para realizar ataques de falsificação de identidade, fazendo com que o endereço de e-mail do invasor pareça legítimo para a vítima. A vulnerabilidade é causada pela implementação atual da verificação do cabeçalho P2 FROM. Ela é particularmente útil para spear phishing e outras formas de fraude por e-mail. Mais de 1 milhão de alvos potenciais foram identificados. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Versões do mysql2 anteriores à 3.9.4 **Descrição** O problema está relacionado à função `readCodeFor` no pacote mysql2, que está vulnerável à execução remota de código (RCE) devido à validação inadequada dos valores `supportBigNumbers` e `bigNumberStrings`. Isso permite que um invasor remoto execute código arbitrário. **Recomendações** Para versões anteriores à 3.9.4, atualize para a versão 3.9.4 ou posterior para resolver o problema. Como solução temporária, considere desativar a função `readCodeFor` até que um patch esteja disponível. Restrinja o acesso ao pacote mysql2 para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Versões do mysql2 anteriores à 3.9.3 **Descrição** O problema está relacionado à validação inadequada de entradas por meio da função `keyFromFields`, resultando em envenenamento de cache. Um invasor pode injetar o caractere dois pontos `:` dentro do valor de uma chave criada por ele. **Recomendações** Para versões anteriores à 3.9.3, atualize para a versão 3.9.3 ou posterior para resolver o problema. Como solução temporária, considere restringir a entrada na função `keyFromFields` para impedir a injeção de caracteres maliciosos.

**Nome do software vulnerável e versões afetadas** Versões do sanitize-html anteriores à 2.12.1 **Descrição** A vulnerabilidade permite a exposição de informações quando o atributo `style` é permitido no backend, possibilitando que um invasor enumere arquivos no sistema, incluindo dependências do projeto. Isso poderia ser explorado para coletar detalhes sobre a estrutura do sistema de arquivos e as dependências do servidor visado. **Recomendações** Para versões anteriores à 2.12.1, atualize para a versão 2.12.1 ou posterior para resolver o problema. Como solução alternativa temporária, considere desativar o atributo style ao usar o sanitize-html no backend para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Pacote net/mail em Go (versões afetadas não especificadas) **Descrição** O problema está relacionado à função ParseAddressList, que trata incorretamente os comentários dentro dos nomes de exibição. Isso pode levar a decisões de confiança diferentes por parte de programas que utilizam analisadores sintáticos distintos, permitindo potencialmente que um invasor remoto realize ataques de falsificação de identidade ao fornecer dados de entrada especialmente criados para esse fim. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Name of the Vulnerable Software and Affected Versions** Google Chrome versions prior to 119.0.6045.105 **Description** The issue is related to an inappropriate implementation in the Payments component of Google Chrome, allowing a remote attacker to bypass XSS preventions via a malicious file. This can enable the attacker to circumvent security restrictions and gain unauthorized access to protected information. The Chromium security severity of this issue is rated as High. **Recommendations** For Google Chrome versions prior to 119.0.6045.105, update to version 119.0.6045.105 or later to resolve the issue. As a temporary workaround, consider restricting access to the Payments component until a patch is applied. Avoid using potentially vulnerable features in the affected versions until the issue is resolved.