Tyage

**Nome do software vulnerável e versões afetadas** Versões do Next.js anteriores à 14.2.15 **Descrição** O problema está relacionado à contornamento da autorização em aplicações Next.js quando a autorização é realizada em middleware com base no nome do caminho. Isso permite que invasores contornem as verificações de segurança para páginas localizadas diretamente no diretório raiz da aplicação. Por exemplo, `https://example.com/foo` é afetado, enquanto `https://example.com/` e `https://example.com/foo/bar` não são. A vulnerabilidade afeta milhões de desenvolvedores e foi automaticamente mitigada para aplicativos hospedados no Vercel, independentemente da versão do Next.js. Não há soluções alternativas oficiais para esta vulnerabilidade. **Recomendações** Para versões do Next.js anteriores à 14.2.15, atualize para a versão 14.2.15 ou posterior para resolver o problema. Se sua aplicação Next.js estiver hospedada no Vercel, nenhuma ação é necessária, pois a vulnerabilidade foi automaticamente mitigada. Como solução alternativa temporária, considere restringir o acesso a páginas confidenciais ou desativar a autorização baseada em middleware até que um patch seja aplicado.

**Nome do software vulnerável e versões afetadas** Versões do Rails 5.2.0 a 7.0.8.0 Versões do Rails 6.1.0 a 6.1.7.6 **Descrição** O problema está relacionado a um possível vazamento de informações confidenciais de sessão no Active Storage. Por padrão, o Active Storage envia um cabeçalho `Set-Cookie` junto com o cookie de sessão do usuário ao servir blobs. Ele também define `Cache-Control` como público. Certos proxies podem armazenar o `Set-Cookie` em cache, levando a um vazamento de informações. Isso pode fazer com que usuários compartilhem sessões, permitindo potencialmente que um invasor receba a sessão de um usuário ou vice-versa. **Recomendações** Para as versões do Rails 5.2.0 a 7.0.8.0, atualize para a versão 7.0.8.1 ou configure os proxies de cache para não armazenarem em cache os cabeçalhos `Set-Cookie`. Para as versões do Rails 6.1.0 a 6.1.7.6, atualize para a versão 6.1.7.7 ou configure os proxies de cache para que não armazenem em cache os cabeçalhos `Set-Cookie`. Como solução temporária, considere configurar os proxies de cache para excluir os cabeçalhos `Set-Cookie` do armazenamento em cache.

**Name of the Vulnerable Software and Affected Versions** webmention.js versions prior to 0.5.5 **Description** The issue is related to Cross-site Scripting (XSS) - DOM in the webmention.js GitHub repository. This type of attack occurs when an application includes user input in its output without proper validation, allowing an attacker to inject malicious scripts into the website. No information is provided about the estimated number of potentially affected devices or real-world incidents where this issue was exploited. **Recommendations** For versions prior to 0.5.5, update to version 0.5.5 or later to resolve the issue. As a temporary workaround, consider restricting user input to minimize the risk of exploitation.