Thegrandpew

**Nome do software vulnerável e versões afetadas** Atlassian Bitbucket Server e Data Center, versões 7.0.0 a 7.6.17 Atlassian Bitbucket Server e Data Center, versões 7.7.0 a 7.17.10 Atlassian Bitbucket Server e Data Center, versões 7.18.0 a 7.21.4 Atlassian Bitbucket Server e Data Center versões 8.0.0 a 8.0.3 Atlassian Bitbucket Server e Data Center versões 8.1.0 a 8.1.3 Atlassian Bitbucket Server e Data Center versões 8.2.0 a 8.2.2 Atlassian Bitbucket Server e Data Center versões 8.3.0 a 8.3.1 **Descrição** A vulnerabilidade permite que invasores remotos com permissões de leitura em um repositório Bitbucket público ou privado executem código arbitrário enviando uma solicitação HTTP maliciosa. Isso se deve a erros no processamento de dados de entrada na interface da API da ferramenta para hospedagem, gerenciamento e colaboração em código Git. A vulnerabilidade foi relatada por meio do Programa de Recompensa por Bugs. **Recomendações** Para as versões 7.0.0 a 7.6.17, atualize para a versão 7.6.17 ou posterior. Para as versões 7.7.0 a 7.17.10, atualize para a versão 7.17.10 ou posterior. Para as versões 7.18.0 a 7.21.4, atualize para a versão 7.21.4 ou posterior. Para as versões 8.0.0 a 8.0.3, atualize para a versão 8.0.3 ou posterior. Para as versões 8.1.0 a 8.1.3, atualize para a versão 8.1.3 ou posterior. Para as versões 8.2.0 a 8.2.2, atualize para a versão 8.2.2 ou posterior. Para as versões 8.3.0 a 8.3.1, atualize para a versão 8.3.1 ou posterior.

**Nome do software vulnerável e versões afetadas** Versões do Electron anteriores à 18.0.0-beta.6 Versões do Electron anteriores à 17.2.0 Versões do Electron anteriores à 16.2.6 Versões do Electron anteriores à 15.5.5 **Descrição** A vulnerabilidade está relacionada ao parâmetro `nodeIntegrationInSubFrames` no Electron, o que pode levar à divulgação de informações. Um renderizador com execução de JavaScript pode obter acesso a um novo processo de renderização com `nodeIntegrationInSubFrames` habilitado, permitindo acesso efetivo ao `ipcRenderer`. Esse acesso pode comprometer o aplicativo ou o usuário se o aplicativo expor mensagens IPC sem validação do `senderFrame` do IPC que realizem ações privilegiadas ou retornem dados confidenciais. **Recomendações** Para versões anteriores à 18.0.0-beta.6, atualize para a versão 18.0.0-beta.6 ou posterior. Para versões anteriores à 17.2.0, atualize para a versão 17.2.0 ou posterior. Para versões anteriores à 16.2.6, atualize para a versão 16.2.6 ou posterior. Para versões anteriores à 15.5.5, atualize para a versão 15.5.5 ou posterior. Como solução alternativa temporária, certifique-se de que todos os manipuladores de mensagens IPC validem adequadamente `senderFrame`.

**Nome do software vulnerável e versões afetadas** Versões do Element Desktop anteriores à 1.9.7 **Descrição** A vulnerabilidade diz respeito a um bug de execução remota de programa que requer interação do usuário, envolvendo clicar em um link malicioso seguido de outro clique em um botão. De acordo com as informações disponíveis, este problema ainda não foi explorado em ambiente real. Se explorado com sucesso, permite que um invasor especifique o caminho de um arquivo binário no computador da vítima para execução, embora o invasor não possa especificar argumentos do programa. Em determinadas configurações, o invasor pode ser capaz de especificar um URI em vez de um caminho de arquivo, o que pode levar a vulnerabilidades adicionais nos mecanismos da plataforma e à execução de código arbitrário. **Recomendações** Para versões do Element Desktop anteriores à 1.9.7, atualize para a versão 1.9.7 ou posterior assim que possível para resolver o problema. Como solução alternativa temporária, considere evitar clicar em links e botões suspeitos para minimizar o risco de exploração. Restrinja o acesso a configurações potencialmente vulneráveis para reduzir o risco de exploração de outras vulnerabilidades.

**Nome do software vulnerável e versões afetadas** python-markdown2 versões 2.3.8 e anteriores **Descrição** O problema decorre do tratamento incorreto de nomes de elementos, o que pode levar a ataques XSS, a menos que a correspondência w+ seja bem-sucedida. Um exemplo de um possível ataque envolve o uso de nomes de elementos com caracteres especiais, como `elementname@` ou `elementname-`, em combinação com um atributo `onclick`. **Recomendações** Para as versões 2.3.8 e anteriores do python-markdown2, atualize para uma versão que trate adequadamente os nomes de elementos para evitar ataques XSS.