Sportshead

**Nome do Software Vulnerável e Versões Afetadas** Versões do Elysia de 1.4.0 a 1.4.16 **Descrição** O Elysia é um framework Typescript usado para validação de requisições, inferência de tipos, documentação OpenAPI e comunicação cliente-servidor. A função `mergeDeep` é suscetível a um problema de poluição de protótipo ao mesclar resultados de duas validações de schema padrão que compartilham a mesma chave. Isso ocorre devido à ordem de mesclagem, exigindo que um tipo 'any' seja definido como uma guarda independente para permitir a mesclagem da propriedade ` proto `. Combinado com o GHSA-8vch-m3f4-q8jf, isso pode levar à execução remota de código (RCE). O componente vulnerável é a função `mergeDeep`. A propriedade ` proto ` está envolvida na exploração. **Recomendações** Atualize para a versão 1.4.17 ou superior do Elysia. Como solução alternativa, remova a chave ` proto ` do corpo da requisição.

**Nome do Software Vulnerável e Versões Afetadas** Versões 1.4.17 e anteriores do Elysia **Descrição** O Elysia é um framework TypeScript usado para validação de requisições, inferência de tipos, documentação OpenAPI e comunicação cliente-servidor. As versões 1.4.17 e anteriores são suscetíveis à execução arbitrária de código originada de configurações de cookies. Quando cookies dinâmicos estão habilitados, a configuração do cookie é integrada à rota compilada sem a devida sanitização. A disponibilidade do exploit é geralmente limitada, mas, quando combinada com GHSA-hxj9-33pp-j2cc, pode levar a uma cadeia completa de execução remota de código. A exploração bem-sucedida requer acesso de escrita ao código fonte da aplicação Elysia ou à configuração do cookie. **Recomendações** Atualize para a versão 1.4.18 ou superior.