Tomasilluminati

**Name of the Vulnerable Software and Affected Versions** Salvo versions 0.39.0 through 0.89.2 **Description** Salvo, a Rust web framework, contains a Path Traversal and Access Control Bypass issue within its `salvo-proxy` component. An unauthenticated attacker can bypass proxy routing constraints and access unintended backend paths, such as protected endpoints or administrative dashboards. This is due to the `encode url path` function failing to properly normalize "../" sequences, forwarding them directly to the upstream server. The function does not re-encode the "." character, allowing attackers to manipulate the URL path. The vulnerability is triggered by sending specially crafted URLs containing encoded "../" sequences, like `%2e%2e`, which are not correctly sanitized before being passed to the backend server. The backend server then interprets these sequences, potentially granting access to unauthorized resources. The vulnerable code was introduced through a specific commit. **Recommendations** Versions 0.39.0 through 0.89.2 should be updated to version 0.89.3 or later. As a temporary workaround, consider implementing a robust path normalization function, such as the provided example, to sanitize the URL path before forwarding it to the upstream server. This function should remove or block any path segments containing "..". Alternatively, utilize a trusted URL parsing and normalization library to ensure proper handling of path components.

**Nome do Software Vulnerável e Versões Afetadas** Versões do Locutus anteriores a 3.0.0 **Descrição** O Locutus, uma biblioteca projetada para trazer bibliotecas padrão de outras linguagens de programação para JavaScript para fins educacionais, contém uma falha de execução remota de código (RCE). Este problema reside na implementação da função `call user func array` e seu wrapper `call user func`. A causa raiz é a falha da função em validar corretamente todos os componentes de um array de callback antes de passá-los para `eval()`. Especificamente, o código aplica uma verificação de expressão regular ao primeiro elemento do array de callback, mas não ao segundo, permitindo que um atacante injete código JavaScript arbitrário através do segundo elemento. Este código injetado é então executado com os privilégios completos do processo Node.js. A vulnerabilidade está localizada na função `call user func array` dentro do arquivo `src/php/funchand/call user func array.js`. Um atacante pode explorar essa falha criando um payload malicioso no parâmetro `cb[1]`, contornando os controles de segurança previstos da biblioteca. A vulnerabilidade não é um problema "drive-by", mas requer que a aplicação atue como um gateway ou roteador usando funções do Locutus. O código vulnerável usa `eval()` para construir e executar uma chamada de função, o que é inerentemente arriscado. **Recomendações** Atualize para o Locutus versão 3.0.0 ou posterior.

**Nome do Software Vulnerável e Versões Afetadas** Versões do node-tar até e incluindo a 7.5.3 **Descrição** O node-tar, um utilitário Tar para Node.js, contém uma condição de corrida devido ao tratamento incompleto de colisões de caminhos Unicode no sistema `path-reservations`. Este problema ocorre em sistemas de arquivos que não diferenciam maiúsculas e minúsculas ou que ignoram normalização Unicode, como o APFS do macOS, onde caminhos colidentes (ex.: `ß` e `ss`) não são adequadamente travados. Isso permite processamento paralelo, contornando as proteções internas de concorrência e possibilitando ataques de envenenamento de symlink por meio de condições de corrida. A vulnerabilidade permite que um atacante contorne travas internas de paralelização utilizando nomes de arquivo conflitantes dentro de um arquivo tar malicioso. O problema está relacionado ao uso da normalização Unicode `NFD`, que não preserva a ordem de caminhos conflitantes em sistemas de arquivos que ignoram a normalização Unicode. A vulnerabilidade permite uma condição de corrida que possibilita a sobrescrita arbitrária de arquivos. **Recomendações** Versões do node-tar até e incluindo a 7.5.3 devem ser atualizadas para a versão 7.5.4. Como alternativa, filtre todas as entradas `SymbolicLink` ao extrair dados de tarballs arbitrários programaticamente.