Styfle

Nome do Software Vulnerável e Versões Afetadas: Versões do Undici anteriores a 5.29.0 Versões do Undici anteriores a 6.21.2 Versões do Undici anteriores a 7.5.0 Descrição: O problema afeta aplicações que utilizam o Undici para implementar um sistema semelhante a webhook. Se um atacante configurar um servidor com um certificado inválido e forçar a aplicação a chamar o webhook repetidamente, isso pode causar um vazamento de memória. Recomendações: Para versões anteriores a 5.29.0, atualize para a versão 5.29.0 ou posterior. Para versões anteriores a 6.21.2, atualize para a versão 6.21.2 ou posterior. Para versões anteriores a 7.5.0, atualize para a versão 7.5.0 ou posterior. Como solução temporária, evite chamar um webhook repetidamente se o webhook falhar.

**Nome do software vulnerável e versões afetadas** Versões 10.0.0 a 12.1.0 do Next.js **Descrição** O Next.js é uma estrutura React vulnerável à deturpação de informações críticas na interface do usuário (UI). Para ser afetado, o arquivo `next.config.js` deve ter uma matriz `images.domains` atribuída, e o host de imagens atribuído em `images.domains` deve permitir SVG fornecido pelo usuário. Se o arquivo `next.config.js` tiver `images.loader` atribuído a algo diferente do padrão, a instância não é afetada. **Recomendações** Para as versões 10.0.0 a 12.0.10 do Next.js, atualize para a versão 12.1.0 para resolver o problema. Como solução alternativa temporária para as versões 10.0.0 a 12.0.10, altere o `next.config.js` para usar uma `configuração de carregador` diferente da padrão, por exemplo, definindo `images.loader` como ‘imgix’ ou ‘custom’.

**Nome do software vulnerável e versões afetadas** Versões do Next.js de 10.0.0 a 11.0.0 **Descrição** O Next.js é um framework React que apresenta uma vulnerabilidade de script entre sites (XSS). Para que uma instância seja afetada, o arquivo `next.config.js` deve ter a matriz `images.domains` atribuída, e o host de imagens em `images.domains` deve permitir SVG fornecido pelo usuário. A instância não é afetada se o arquivo `next.config.js` tiver `images.loader` atribuído a algo diferente do padrão ou se estiver implantada no Vercel. **Recomendações** Para as versões 10.0.0 a 11.0.0 do Next.js, atualize para a versão 11.1.1 para resolver o problema. Como solução temporária, considere modificar o arquivo `next.config.js` para atribuir `images.loader` a algo diferente do padrão ou restringir o uso de SVG fornecido pelo usuário na matriz `images.domains` até que um patch seja aplicado.