Svalkanov

**Nome do Software Vulnerável e Versões Afetadas** Versões da gem CGI anteriores a 0.4.2 **Descrição** Existe uma vulnerabilidade de Negação de Serviço por Expressão Regular (ReDoS) no método Util#escapeElement. Este problema pode levar a um alto consumo de CPU devido a entrada manipulada. A vulnerabilidade afeta as versões 3.1 e 3.2 do Ruby. **Recomendações** Para versões da gem CGI anteriores a 0.4.2, atualize a gem CGI para a versão 0.4.2 ou posterior. Como solução temporária, considere restringir o uso do método `Util#escapeElement` até que um patch esteja disponível.

**Nome do software vulnerável e versões afetadas** Versões do Rails 7.1.0 a 7.1.3.0 **Descrição** Existe uma possível vulnerabilidade ReDoS nas rotinas de análise do cabeçalho Accept do Action Dispatch. Esse problema pode fazer com que a análise do cabeçalho Accept demore um tempo inesperado, possivelmente resultando em uma vulnerabilidade DoS. Cabeçalhos Accept cuidadosamente criados podem explorar essa vulnerabilidade. O Ruby 3.2 possui medidas de mitigação para esse problema, portanto, aplicativos Rails que utilizam Ruby 3.2 ou versões mais recentes não são afetados. **Recomendações** Para as versões 7.1.0 a 7.1.3.0, atualize para a versão 7.1.3.1 ou aplique o patch fornecido para a série 7.1, 7-1-accept-redox.patch. Como solução temporária, considere restringir o acesso às rotinas de análise do cabeçalho Accept no Action Dispatch até que um patch esteja disponível.

**Nome do software vulnerável e versões afetadas** Versões do Rack anteriores à 2.0.9.4 Versões do Rack anteriores à 2.1.4.4 Versões do Rack anteriores à 2.2.8.1 Versões do Rack anteriores à 3.0.9.1 **Descrição** O problema está relacionado à análise de cabeçalhos no Rack, que pode ser explorada por cabeçalhos cuidadosamente criados, levando potencialmente a uma negação de serviço. Os cabeçalhos Accept e Forwarded são afetados. O Ruby 3.2 possui medidas de mitigação para esse problema, portanto, aplicativos Rack que utilizam Ruby 3.2 ou mais recente não são afetados. **Recomendações** Para resolver o problema nas versões do Rack anteriores à 2.0.9.4, atualize para a versão 2.0.9.4 ou mais recente. Para resolver o problema nas versões do Rack anteriores à 2.1.4.4, atualize para a versão 2.1.4.4 ou mais recente. Para resolver o problema nas versões do Rack anteriores à 2.2.8.1, atualize para a versão 2.2.8.1 ou mais recente. Para resolver o problema nas versões do Rack anteriores à 3.0.9.1, atualize para a versão 3.0.9.1 ou mais recente. Como solução temporária, considere restringir o acesso aos cabeçalhos Accept e Forwarded até que um patch esteja disponível. Os patches estão disponíveis para as séries 2.0, 2.1, 2.2 e 3.0 no formato git-am.

**Nome do software vulnerável e versões afetadas** Versões da gem `date` anteriores à 3.2.1 Versões da gem `date` anteriores à 3.1.2 Versões da gem `date` anteriores à 3.0.2 Versões da gem `date` anteriores à 2.0.1 **Descrição** O problema está relacionado a uma vulnerabilidade ReDoS (Negação de Serviço por Expressão Regular) na gem date para Ruby, que pode ser explorada usando uma string longa. Isso pode levar a uma negação de serviço. A vulnerabilidade se deve ao uso de expressões regulares internamente nos métodos de análise de data, incluindo `Date.parse`. Aplicativos e bibliotecas que aplicam tais métodos a entradas não confiáveis podem ser afetados. **Recomendações** Para versões da gem date anteriores à 3.2.1, atualize para a versão 3.2.1 ou posterior. Para versões da gem date anteriores à 3.1.2, atualize para a versão 3.1.2 ou posterior. Para versões da gem date anteriores à 3.0.2, atualize para a versão 3.0.2 ou posterior. Para versões da gem date anteriores à 2.0.1, atualize para a versão 2.0.1 ou posterior. Como solução alternativa temporária, considere usar `Date.strptime` com um formato de data predefinido, como `Date.strptime(‘2001-02-20’, ‘%Y-%m-%d’)`.