Snyk

**Nome do software vulnerável e versões afetadas** Todas as versões do Code Agent **Descrição** Foi identificada uma vulnerabilidade de execução remota de código, permitindo que um invasor execute código arbitrário dentro do contêiner do Code Agent. A exploração dessa vulnerabilidade requer que o invasor tenha acesso de rede ao Code Agent dentro do ambiente de implantação. A exploração externa é improvável e depende de configurações incorretas do cluster e/ou da combinação com outra vulnerabilidade. No entanto, a exploração interna ainda pode ser possível em caso de configuração incorreta do cluster. **Recomendações** Para todas as versões, no momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Name of the Vulnerable Software and Affected Versions** deno versions prior to 1.31.0 **Description** The issue is related to Regular Expression Denial of Service (ReDoS) due to the `upgradeWebSocket` function, which contains regexes in the form of `/s*,s*/`, used for splitting the `Connection/Upgrade` header. A specially crafted `Connection/Upgrade` header can be used to significantly slow down a web socket server. **Recommendations** For deno versions prior to 1.31.0, it is recommended that users upgrade to Deno 1.31.0. As a temporary workaround, consider restricting access to the `upgradeWebSocket` function until a patch is available. Avoid using the `Connection/Upgrade` header with specially crafted values in the affected API endpoint until the issue is resolved.

**Name of the Vulnerable Software and Affected Versions** lite-web-server (affected versions not specified) **Description** The issue concerns a Denial of Service (DoS) condition that occurs when an attacker sends an HTTP request containing control characters that the `decodeURI()` function cannot parse. This can lead to a service disruption. **Recommendations** At the moment, there is no information about a newer version that contains a fix for this vulnerability.

**Nome do software vulnerável e versões afetadas** Todas as versões do lite-dev-server **Descrição** O problema surge devido à falta de sanitização de entradas e à ausência de sandboxes na entrada do usuário `req.url` que é passada para o código do servidor, levando a um ataque de traversal de diretório. **Recomendações** Para todas as versões, considere desativar a funcionalidade vulnerável relacionada à entrada `req.url` até que uma correção adequada esteja disponível e garanta a sanitização adequada da entrada para a variável `req.url` a fim de prevenir ataques de traversal de diretório.

**Nome do software vulnerável e versões afetadas** Todas as versões do easy-static-server **Descrição** O problema surge devido à falta de sanitização de entradas e à ausência de sandboxes na entrada do usuário `req.url` que é passada para o código do servidor, levando a um ataque de traversal de diretório. **Recomendações** Para todas as versões, considere desativar o processamento da entrada `req.url` até que uma correção adequada seja implementada para sanitizar a entrada e impedir ataques de traversal de diretório. Restrinja o acesso a diretórios e arquivos confidenciais para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Todas as versões do lite-server **Descrição** O problema surge quando um invasor envia uma solicitação HTTP que inclui caracteres de controle, que a função `decodeURI()` não consegue analisar, levando a uma negação de serviço (DoS). Isso ocorre quando a função `decodeURI()` encontra caracteres que não consegue processar, fazendo com que o serviço fique indisponível. **Recomendações** Para todas as versões, considere desativar a função `decodeURI()` ou restringir solicitações HTTP que incluam caracteres de controle até que uma correção esteja disponível. Como solução temporária, restrinja o acesso ao endpoint HTTP para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.