Taise

**Nome do Software Vulnerável e Versões Afetadas** Node.js (versões afetadas não especificadas) **Descrição** Uma vulnerabilidade foi identificada no Node.js, afetando especificamente o tratamento de nomes de unidades no ambiente Windows. Certas funções do Node.js não tratam nomes de unidades como especiais no Windows. Como resultado, embora o Node.js assuma um caminho relativo, ele realmente se refere ao diretório raiz. No Windows, um caminho que não começa com o separador de caminho é tratado como relativo ao diretório atual. Esta vulnerabilidade afeta os usuários do Windows da API `path.join`. **Recomendações** Como solução temporária, considere desativar a API `path.join` até que um patch esteja disponível. Restrinja o acesso à função `path.join` para minimizar o risco de exploração. Evite usar caminhos relativos na API `path.join` até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

Nome do software vulnerável e versões afetadas: rails-html-sanitizer versão 1.6.0 Descrição: O problema está relacionado a uma possível vulnerabilidade XSS em determinadas configurações do Rails::HTML::Sanitizer quando usado com Rails >= 7.1.0 e Nokogiri < 1.15.7, ou 1.16.x < 1.16.8. Essa vulnerabilidade pode permitir que um invasor injete conteúdo se a sanitização HTML5 estiver habilitada e o desenvolvedor da aplicação tiver substituído as tags permitidas pelo sanitizador com os elementos “math” e “style” ou com os elementos “svg” e “style”. Recomendações: Para o rails-html-sanitizer versão 1.6.0, atualize para a versão 1.6.1 para corrigir a vulnerabilidade. Como solução temporária, considere remover “style” das tags permitidas substituídas, ou remova ‘math’ e “svg” das tags permitidas substituídas, ou reverte a sanitização para HTML4. Como alternativa, atualize o Nokogiri independentemente para a v1.15.7 ou >= 1.16.8.

Nome do software vulnerável e versões afetadas: rails-html-sanitizer versão 1.6.0 Descrição: Uma possível vulnerabilidade XSS em determinadas configurações do Rails::HTML::Sanitizer pode permitir que um invasor injete conteúdo se a sanitização HTML5 estiver ativada e o desenvolvedor da aplicação tiver substituído as tags permitidas pelo sanitizador de forma que os elementos “math” e “style” sejam explicitamente permitidos. Este problema é relevante quando usado com o Rails >= 7.1.0. A configuração padrão é desativar esses elementos, e o código só é afetado se as tags permitidas estiverem sendo substituídas. Recomendações: Para a versão 1.6.0 do rails-html-sanitizer, atualize para a versão 1.6.1 para corrigir a vulnerabilidade. Como solução temporária, considere remover “math” ou “style” das tags permitidas substituídas, ou reverte a sanitização para HTML4 configurando `config.action view.sanitizer vendor` e `config.action text.sanitizer vendor` adequadamente.

Nome do software vulnerável e versões afetadas: rails-html-sanitizer versão 1.6.0 Descrição: Existe uma possível vulnerabilidade XSS em determinadas configurações do Rails::HTML::Sanitizer quando usado com o Rails >= 7.1.0. Essa vulnerabilidade pode permitir que um invasor injete conteúdo se a sanitização HTML5 estiver habilitada e o desenvolvedor da aplicação tiver substituído as tags permitidas pelo sanitizador, de forma que o elemento `style` seja explicitamente permitido e os elementos `svg` ou `math` não sejam permitidos. Recomendações: Para o rails-html-sanitizer versão 1.6.0, atualize para a versão 1.6.1 para corrigir a vulnerabilidade. Como solução temporária, considere remover `style` das tags permitidas substituídas ou rebaixar a sanitização para HTML4.

Nome do software vulnerável e versões afetadas: rails-html-sanitizer versão 1.6.0 Descrição: Existe uma possível vulnerabilidade XSS em determinadas configurações do Rails::HTML::Sanitizer quando utilizado com o Rails >= 7.1.0. Esse problema pode permitir que um invasor injete conteúdo se a sanitização HTML5 estiver habilitada e o desenvolvedor da aplicação tiver substituído as tags permitidas pelo sanitizador, de forma que os elementos “math”, “mtext”, “table” e “style” sejam permitidos e ‘mglyph’ ou “malignmark” também sejam permitidos. Recomendações: Para a versão 1.6.0 do rails-html-sanitizer, atualize para a versão 1.6.1 para corrigir a vulnerabilidade. Como alternativa, remova “mglyph” e “malignmark” das tags permitidas substituídas ou reverte a sanitização para HTML4.

Nome do software vulnerável e versões afetadas: rails-html-sanitizer versão 1.6.0 Descrição: O problema está relacionado a uma possível vulnerabilidade XSS em determinadas configurações do Rails::HTML::Sanitizer quando usado com o Rails >= 7.1.0. Essa vulnerabilidade pode permitir que um invasor injete conteúdo se a sanitização HTML5 estiver habilitada e o desenvolvedor do aplicativo tiver substituído as tags permitidas pelo sanitizador para o elemento “noscript”. Recomendações: Para a versão 1.6.0 do rails-html-sanitizer, atualize para a versão 1.6.1 para corrigir a vulnerabilidade. Como solução temporária, considere remover “noscript” das tags permitidas substituídas ou reverter a sanitização para HTML4.