Tinkanet

**Nome do Software Vulnerável e Versões Afetadas** Parse Server versões anteriores a 9.5.0-alpha.14 Parse Server versões anteriores a 8.6.11 **Descrição** Um padrão `$regex` elaborado dentro de uma assinatura LiveQuery pode causar backtracking catastrófico, bloqueando o loop de eventos do Node.js e tornando todo o Parse Server inoperável. Um invasor precisa apenas do ID do aplicativo e da chave JavaScript, geralmente públicos em aplicações cliente, para explorar essa vulnerabilidade. Isso afeta implantações do Parse Server com LiveQuery habilitado, especificamente a correspondência de assinaturas LiveQuery, que avalia regex em JavaScript no loop de eventos do Node.js. Consultas REST e GraphQL normais não são afetadas, já que sua avaliação de regex ocorre dentro do mecanismo do banco de dados. **Recomendações** Atualize para o Parse Server versão 9.5.0-alpha.14 ou posterior. Atualize para o Parse Server versão 8.6.11 ou posterior.

**Name of the Vulnerable Software and Affected Versions** Mercurius versions prior to 16.8.0 **Description** Mercurius does not properly enforce the configured queryDepth limit on GraphQL subscription queries received over WebSocket connections. The depth check functions as expected for HTTP queries and mutations, but subscription queries bypass this validation. This allows a remote client to send excessively nested subscription queries via WebSocket, circumventing the intended depth restriction. In schemas containing recursive types, this can result in a denial of service due to exponential data resolution with each subscription event. **Recommendations** Update to version 16.8.0 or later. Disable subscriptions and queries over WebSocket.

**Nome do Software Vulnerável e Versões Afetadas** express-rate-limit versões 8.0.0 até 8.0.1 express-rate-limit versões 8.1.0 até 8.1.1 express-rate-limit versões 8.2.0 até 8.2.1 **Descrição** O keyGenerator padrão do express-rate-limit aplica incorretamente a máscara de sub-rede IPv6 a endereços IPv6 mapeados para IPv4. Isso resulta em todo o tráfego IPv4 ser colocado em um único bucket de limite de taxa. Consequentemente, um único cliente que esgotar o limite de taxa pode causar erros HTTP 429 para todos os outros clientes IPv4. O problema ocorre em servidores dual-stack do Node.js onde `request.ip` contém endereços IPv6 mapeados para IPv4. Isso afeta apenas a configuração padrão do `keyGenerator`. O problema pode levar a uma negação de serviço, já que um único cliente pode bloquear todo o tráfego IPv4. **Recomendações** Atualize para a versão 8.0.2 do express-rate-limit. Atualize para a versão 8.1.1 do express-rate-limit. Atualize para a versão 8.2.2 do express-rate-limit. Atualize para a versão 8.3.0 do express-rate-limit.

**Nome do Software Vulnerável e Versões Afetadas** Versões do Defuddle anteriores a 0.9.0 **Descrição** O Defuddle contém uma falha no método ` findContentBySchemaText` dentro de `src/defuddle.ts`. Este método interpola diretamente os atributos `src` e `alt` da imagem em uma string HTML sem escape adequado. Um atacante pode explorar um caractere de aspas duplas (") dentro do atributo `alt` para sair do contexto do atributo e injetar manipuladores de eventos, levando a um possível cross-site scripting (XSS). O problema ocorre durante a construção da string, não dentro do DOM, contornando a função ` stripUnsafeElements`. A vulnerabilidade é acionada ao processar HTML com dados estruturados schema.org e uma imagem irmã com um atributo `alt` elaborado. O código afetado usa interpolação de string: `html += `<img src="${imageSrc}" alt="${imageAlt}">`;`. A função `getAttribute()` retorna valores brutos dos atributos, e a presença de um caractere de aspas no atributo `alt` permite a injeção de manipuladores de eventos como `onload`. Isso pode impactar aplicações que renderizam a saída HTML do Defuddle, como extensões de navegador, web clippers e modos de leitura. **Recomendações** As versões anteriores a 0.9.0 devem ser atualizadas para a versão 0.9.0 ou posterior. Como alternativa, utilize a API DOM em vez de interpolação de string ao criar elementos de imagem. Especificamente, utilize o seguinte código: ```typescript if (imageSrc) { const img = this.doc.createElement('img'); img.setAttribute('src', imageSrc); img.setAttribute('alt', imageAlt); html += img.outerHTML; } ``` Essa abordagem garante que os valores dos atributos sejam devidamente escapados pelo serializador DOM.

**Nome do software vulnerável e versões afetadas** Sistema de gerenciamento de contatos SourceCodester, versão 1.0 **Descrição** Foi encontrada uma vulnerabilidade no SourceCodester Phone Contact Manager System, classificada como problemática. O problema está relacionado à validação inadequada de entradas, afetando a função `ContactBook::adding` do arquivo `ContactBook.cpp`. O ataque deve ser realizado localmente, e a exploração já foi divulgada ao público. Isso pode permitir que um invasor execute código arbitrário. **Recomendações** Para o Sistema de Gerenciamento de Contatos do SourceCodester versão 1.0, como solução temporária, considere desativar a função `ContactBook::adding` até que um patch esteja disponível. Restrinja o acesso ao arquivo `ContactBook.cpp` para minimizar o risco de exploração. Evite usar a função `ContactBook::adding` até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Name of the Vulnerable Software and Affected Versions** Tongda OA 2017 versions up to 11.9 **Description** A critical issue was found in the file general/wiki/cp/manage/lock.php, where the manipulation of the `TERM ID STR` argument leads to sql injection. The exploit has been disclosed to the public and may be used. **Recommendations** For Tongda OA 2017 versions up to 11.9, upgrade to version 11.10 to address this issue. As a temporary workaround, consider restricting access to the `lock.php` file or avoiding the manipulation of the `TERM ID STR` argument until the upgrade is applied.

**Name of the Vulnerable Software and Affected Versions** IBOS OA version 4.5.5 **Description** A critical issue has been found in the software, affecting some unknown functionality of the file ?r=file/dashboard/trash&op=del. The manipulation of the argument `fids` leads to SQL injection. The attack may be launched remotely. The exploit has been disclosed to the public and may be used. **Recommendations** For IBOS OA version 4.5.5, as a temporary workaround, consider restricting access to the file ?r=file/dashboard/trash&op=del to minimize the risk of exploitation. Avoid using the argument `fids` in the affected file until the issue is resolved. At the moment, there is no information about a newer version that contains a fix for this vulnerability.

**Name of the Vulnerable Software and Affected Versions** D-Link DAR-8000-10 up to 20230819 **Description** The issue is related to the decodmail.php script in the D-Link DAR-8000-10 router's firmware, where it fails to neutralize special elements used in an operating system command. This can be exploited by a remote attacker to execute arbitrary commands. The manipulation of the `file` argument leads to os command injection. The attack may be launched remotely, and the complexity of an attack is rather high. The exploitation is known to be difficult. **Recommendations** For D-Link DAR-8000-10 up to 20230819, as a temporary workaround, consider restricting access to the `/log/decodmail.php` file to minimize the risk of exploitation. Avoid using the `file` argument in the affected functionality until the issue is resolved. At the moment, there is no information about a newer version that contains a fix for this vulnerability.