Thomas Gøytil

**Nome do software vulnerável e versões afetadas** Versões do http4s anteriores à 0.18.26 Versões do http4s anteriores à 0.20.20 Versões do http4s anteriores à 0.21.2 **Descrição** O problema afeta todos os usuários de org.http4s.server.staticcontent.FileService, org. http4s.server.staticcontent.ResourceService e org.http4s.server.staticcontent.WebjarService. A normalização de URI é aplicada incorretamente, permitindo que solicitações com informações de caminho contendo ../ ou // exponham recursos fora do local configurado. Isso pode levar à exposição de arquivos no sistema de arquivos local ou de recursos no caminho de classe. A vulnerabilidade também envolve problemas de correspondência de prefixos e decodificação de URI, o que pode causar a exposição incorreta de recursos. **Recomendações** Para versões anteriores à 0.18.26, atualize para a versão 0.18.26 ou posterior. Para versões anteriores à 0.20.20, atualize para a versão 0.20.20 ou posterior. Para versões anteriores à 0.21.2, atualize para a versão 0.21.2 ou posterior. Como solução temporária, considere copiar os arquivos corrigidos FileService.scala, ResourceService.scala e WebjarService.scala da série de lançamento apropriada para o seu projeto e recompilar com eles, alterando o nome do pacote e a referência em seu aplicativo. Usuários de um backend de servlet podem usar os recursos de serviço de arquivos do contêiner de servlets como alternativa.

**Name of the Vulnerable Software and Affected Versions** Kibana versions 5.3.0 and later **Description** The issue is related to a cross-site scripting (XSS) vulnerability in the Discover page. This could allow an attacker to obtain sensitive information from or perform destructive actions on behalf of other Kibana users. **Recommendations** For versions 5.3.0 and later, update to a version that contains a fix for this issue. At the moment, there is no information about a newer version that contains a fix for this vulnerability.