Tariq Hawis

**Nome do Software Vulnerável e Versões Afetadas** Progress Telerik Kendo UI for Vue versões de v2.4.0 a v6.0.1 **Descrição** A vulnerabilidade permite que um invasor introduza ou modifique propriedades na cadeia de protótipos global, o que pode resultar em negação de serviço ou injeção de comandos. **Recomendações** Para as versões de v2.4.0 a v6.0.1, atualize para uma versão fora deste intervalo para mitigar o risco de exploração. Como solução temporária, considere restringir o acesso às propriedades sensíveis na cadeia de protótipos global até que uma correção esteja disponível.

**Nome do Software Vulnerável e Versões Afetadas** Progress® Telerik® KendoReact versões v3.5.0 a v9.4.0 **Descrição** Um atacante pode introduzir ou modificar propriedades na cadeia de protótipos global, o que pode resultar em negação de serviço ou injeção de comando. **Recomendações** Para as versões v3.5.0 a v9.4.0, considere restringir o acesso a propriedades sensíveis na cadeia de protótipos global até que uma correção esteja disponível. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Versões do uplot anteriores à 1.6.31 **Descrição** O problema está relacionado à contaminação de protótipos (Prototype Pollution) por meio da função `uplot.assign`, devido à falta de uma verificação se o atributo remete ao protótipo do objeto. Isso permite uma possível manipulação do protótipo do objeto, levando a problemas de segurança. **Recomendações** Para versões anteriores à 1.6.31, atualize para a versão 1.6.31 ou posterior para resolver o problema. Como solução temporária, considere desativar a função `uplot.assign` até que um patch esteja disponível.

**Nome do software vulnerável e versões afetadas** Versões do dset anteriores à 3.1.4 **Descrição** O problema decorre de uma sanitização inadequada das entradas do usuário na função dset, permitindo que um invasor injete propriedades maliciosas em objetos usando a propriedade ` proto ` incorporada ao objeto. Essa vulnerabilidade possibilita a atribuição recursiva de propriedades maliciosas a todos os objetos do programa, facilitando a contaminação de protótipos. **Recomendações** Para versões anteriores à 3.1.4, atualize para a versão 3.1.4 ou posterior para resolver o problema. Como solução temporária, considere restringir a entrada do usuário para impedir a exploração da função dset até que um patch seja aplicado. Evite usar a propriedade ` proto ` na função dset para minimizar o risco de contaminação de protótipos.

**Nome do software vulnerável e versões afetadas** Versões do web3-utils anteriores à 4.2.1 **Descrição** A vulnerabilidade diz respeito à contaminação de protótipos (Prototype Pollution) por meio das funções utilitárias `format` e `mergeDeep`, devido a uma fusão recursiva insegura. Um invasor pode manipular o protótipo de um objeto, levando potencialmente à alteração do comportamento de todos os objetos que herdam do protótipo afetado, passando entradas especialmente criadas para essas funções. **Recomendações** Para versões anteriores à 4.2.1, atualize para a versão 4.2.1 do web3-utils para resolver o problema. Como solução temporária, considere restringir o uso da função `mergeDeep()` até que a atualização seja aplicada. Além disso, tenha cuidado ao usar a função `format` com entradas não confiáveis para minimizar o risco de exploração.