Staypirate

**Nome do software vulnerável e versões afetadas** Pacote Elliptic versão 6.5.6 **Descrição** O problema diz respeito à maleabilidade da assinatura EDDSA devido à ausência de uma verificação do comprimento da assinatura, permitindo que bytes com valor zero sejam removidos ou anexados. Trata-se de uma vulnerabilidade criptográfica que pode ser explorada. **Recomendações** Para o pacote Elliptic versão 6.5.6, aplique a correção imediatamente para evitar a exploração dessa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Pacote Elliptic versão 6.5.6 **Descrição** O problema diz respeito à maleabilidade da assinatura ECDSA devido à falta de uma verificação para determinar se o bit inicial de `r` e `s` é zero. Isso resulta em uma falha criptográfica. Não há informações disponíveis sobre o número estimado de dispositivos potencialmente afetados em todo o mundo ou sobre incidentes reais em que essa vulnerabilidade tenha sido explorada. **Recomendações** Para o pacote Elliptic versão 6.5.6, aplique o patch disponível imediatamente para mitigar os riscos. Como solução temporária, considere adicionar uma verificação do bit inicial de `r` e `s` para evitar a maleabilidade da assinatura ECDSA até que o patch seja aplicado.

**Nome do software vulnerável e versões afetadas** Pacote Elliptic versão 6.5.6 **Descrição** A maleabilidade da assinatura ECDSA ocorre no pacote Elliptic porque assinaturas codificadas em BER são permitidas. Este problema afeta o pacote Elliptic para Node.js. **Recomendações** Para a versão 6.5.6 do pacote Elliptic, considere atualizar para uma versão mais recente que corrija o problema de maleabilidade da assinatura ECDSA. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** KeePassXC versão 2.7.7 **Descrição** A vulnerabilidade permite que um invasor com privilégios de vítima recupere credenciais em texto simples por meio de um despejo de memória. Observa-se que o fornecedor contesta isso, citando restrições de gerenciamento de memória que tornam isso inevitável no projeto atual e em outros projetos realistas. **Recomendações** Para o KeePassXC versão 2.7.7, no momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** KeePassXC versão 2.7.7 **Descrição** A vulnerabilidade permite que um invasor, que possua os privilégios da vítima, recupere algumas senhas armazenadas no banco de dados .kdbx por meio de um despejo de memória. O fornecedor contesta essa afirmação, alegando restrições de gerenciamento de memória que tornam isso inevitável no projeto atual e em outros projetos realistas. **Recomendações** Para o KeePassXC versão 2.7.7, no momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.