Trebledj

**Nome do Software Vulnerável e Versões Afetadas** USCiLab Cereal versões anteriores a 1.3.3 **Description** Um problema de confusão de tipos existe no componente Shared Pointer Handler. Um invasor remoto pode executar uma manipulação para desencadear essa condição, que ocorre quando um programa acessa um recurso usando um tipo incompatível, podendo levar a comportamentos inesperados ou falhas no sistema. **Recommendations** Atualize para uma versão posterior a 1.3.2. Como mitigação temporária, restrinja o uso do componente Shared Pointer Handler.

**Nome do Software Vulnerável e Versões Afetadas** Boost Serialization versões anteriores a 1.92 **Description** Existe um problema em uma função desconhecida que causa a validação inadequada do tipo de entrada especificado. Esta falha permite que um invasor remoto realize a execução remota de código, que é a capacidade de executar comandos arbitrários em uma máquina alvo através de uma rede. **Recommendations** No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** Mage AI versões anteriores a 0.9.80 **Description** Um problema de cross-site scripting existe no componente Sign-in Flow, dentro da função `useMutation()` do arquivo `mage ai/frontend/components/Sessions/SignForm/index.tsx`. A manipulação da variável `query.redirect url` permite a exploração remota. **Recommendations** Atualize para uma versão posterior a 0.9.79. Como medida paliativa temporária, restrinja ou valide a entrada da variável `query.redirect url` no componente afetado.

**Nome do Software Vulnerável e Versões Afetadas** blitz-js blitz versões anteriores a 3.0.3 **Description** Um problema de cross-site scripting existe no componente Sign-in dentro do arquivo `packages/generator/templates/app/src/app/auth/components/LoginForm.tsx`. Um invasor remoto pode iniciar um ataque manipulando o argumento `Next`. Cross-site scripting é uma técnica onde scripts maliciosos são injetados em sites confiáveis. **Recommendations** No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** pingvin-share versões anteriores a 1.13.1 **Descrição** Uma falha no componente Sign-in Auto-Redirect permite que atacantes remotos realizem cross site scripting. Isso ocorre por meio da manipulação do argumento `redirect` dentro da função `getServerSideProps()` localizada no arquivo `frontend/src/pages/auth/signIn.tsx`. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** fraillt bitsery versões anteriores a 5.2.5 **Descrição** Ocorre uma validação inadequada do tipo de entrada especificado na função `loadFromSharedState()` localizada na biblioteca `include/bitsery/ext/std smart ptr.h`. Este problema permite a execução de um ataque remoto. **Recomendações** Atualize para a versão 5.2.5. Como medida paliativa temporária, restrinja o uso da função `loadFromSharedState()` até que a atualização seja aplicada.

**Nome do Software Vulnerável e Versões Afetadas** teableio teable versões anteriores a release.2026-04-21T08-57-20Z.1513 **Description** O cross site scripting pode ser acionado remotamente através da manipulação do argumento `redirect` no componente Sign-up do arquivo apps/nextjs-app/src/features/auth/pages/LoginPage.tsx. O problema ocorre porque o fluxo de redirecionamento de login não validava adequadamente o caminho de redirecionamento, permitindo a execução de redirecionamentos javascript:, data: e de origens cruzadas (cross-origin). **Recommendations** Atualize para a versão release.2026-04-21T08-57-20Z.1513. Como medida paliativa temporária, restrinja ou valide o parâmetro `redirect` utilizado durante o processo de login para evitar o uso de URIs javascript:, data: ou de origens cruzadas.

**Nome do Software Vulnerável e Versões Afetadas** AV Stumpfl Pixera Two Media Server versões anteriores a 25.2 R3 **Descrição** Um problema existe em uma função desconhecida do componente Service Port 1338. Esta falha permite a travessia de diretório (path traversal), uma técnica usada para acessar arquivos e diretórios fora da pasta pretendida. **Recomendações** Atualizar para a versão 25.2 R3.

**Nome do Software Vulnerável e Versões Afetadas** AV Stumpfl Pixera Two Media Server versões anteriores a 25.2 R3 **Descrição** Uma falha no componente Websocket API permite a injeção remota de código. Isso ocorre por meio da manipulação de uma função desconhecida dentro da API. **Recomendações** Atualizar para a versão 25.2 R3.

**Name of the Vulnerable Software and Affected Versions** lukevella rallly versões anteriores a 4.8.0 **Description** Uma falha no componente Reset Password Handler dentro do arquivo 'apps/web/src/app/[locale]/(auth)/reset-password/components/reset-password-form.tsx' permite a execução de cross site scripting remotamente. Isso ocorre por meio da manipulação do argumento `redirectTo`. **Recommendations** Atualizar para a versão 4.8.0.

A vulnerability was detected in openstatusHQ openstatus up to 1b678e71a85961ae319cbb214a8eae634059330c. This impacts an unknown function of the file apps/dashboard/src/app/(dashboard)/onboarding/client.tsx of the component Onboarding Endpoint. The manipulation of the argument callbackURL results in cross site scripting. The attack may be launched remotely. This product operates on a rolling release basis, ensuring continuous delivery. Consequently, there are no version details for either affected or updated releases. The patch is identified as 43d9b2b9ef8ae1a98f9bdc8a9f86d6a3dfaa2dfb. It is advisable to implement a patch to correct this issue. The vendor was contacted early, responded in a very professional manner and quickly released a fixed version of the affected product.

Name of the Vulnerable Software and Affected Versions Homarr versões anteriores a 1.57.0 Description Homarr é um painel de código aberto. Uma vulnerabilidade de Cross-Site Scripting (XSS) baseada em DOM existe na página `/auth/login`. A aplicação confia incorretamente no parâmetro de URL `callbackUrl`, que é usado no redirecionamento e router.push. Um invasor pode criar um link malicioso que, quando aberto por um usuário autenticado, redireciona o usuário e executa código JavaScript arbitrário dentro do navegador dele. Isso pode levar ao roubo de credenciais, pivotamento na rede interna e ações não autorizadas realizadas em nome da vítima. Recommendations Atualize para a versão 1.57.0 ou posterior.