Tepel-Chen

**Nome do Software Vulnerável e Versões Afetadas** hackney versões 0 a 4.0.0 **Descrição** A Neutralização Imprópria de Sequências CRLF permite a Divisão de Requisição HTTP (HTTP Request Splitting). O software não realiza a codificação percentual (percent-encode) de caracteres de retorno de carro (`r`) ou alimentação de linha (` `) no componente de consulta da URL antes de construir o alvo da requisição HTTP/1.1. Especificamente, a função `hackney url:make url/3` passa o binário da consulta diretamente sem validação ou escape, violando a seção 3.4 da RFC 3986. Um atacante que controle parte de uma URL pode injetar sequências CRLF brutas na string de consulta, permitindo a injeção de cabeçalhos HTTP arbitrários ou a divisão da requisição HTTP. **Recomendações** Atualizar para a versão 4.0.1.

**Name of the Vulnerable Software and Affected Versions** Frappe versions prior to 16.11.0 and 15.102.0 **Description** A flaw exists in Frappe that allows an attacker to inject malicious code through a crafted image URL. This can lead to Cross-Site Scripting (XSS) when a user’s avatar is displayed. The issue can be triggered for other users through website page comments. **Recommendations** Update to version 16.11.0 or later. Update to version 15.102.0 or later.