Uzlopak

**Nome do software vulnerável e versões afetadas** Versões do Undici anteriores à 5.28.4 Versões do Undici anteriores à 6.11.1 **Descrição** O problema está relacionado a um controle de acesso insuficiente no cliente Undici HTTP/1.1 para Node.js, permitindo que um invasor remoto execute código arbitrário ao alterar a opção `integrity` passada para `fetch()`. Isso faz com que `fetch()` aceite solicitações adulteradas como válidas. **Recomendações** Para versões anteriores à 5.28.4, atualize para a versão 5.28.4 ou posterior. Para versões anteriores à 6.11.1, atualize para a versão 6.11.1 ou posterior. Como solução temporária, certifique-se de que a opção `integrity` não possa ser adulterada para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Versões do @fastify/bearer-auth anteriores à 7.0.2 e à 8.0.1 Versões do fastify-bearer-auth de 5.0.1 a 6.0.3 **Descrição** O problema está relacionado ao uso inseguro de crypto.timingSafeEqual no @fastify/bearer-auth, permitindo que um invasor mal-intencionado estime o comprimento de um token de portador válido. De acordo com a RFC 6750, o token de portador possui apenas caracteres válidos em base64, reduzindo o intervalo de caracteres para um ataque de força bruta. **Recomendações** Para versões do @fastify/bearer-auth anteriores à 7.0.2, atualize para a versão 7.0.2 ou posterior. Para versões do @fastify/bearer-auth anteriores à 8.0.1, atualize para a versão 8.0.1 ou posterior. Para as versões 5.0.1 a 6.0.3 do fastify-bearer-auth, atualize para uma versão corrigida do @fastify/bearer-auth.

**Nome do software vulnerável e versões afetadas** Versões do github-action-merge-dependabot anteriores à 3.2.0 **Descrição** O github-action-merge-dependabot é uma ação que aprova e mescla automaticamente pull requests (PRs) do dependabot. Antes da versão 3.2.0, ele não verifica se um commit criado pelo dependabot foi autenticado com a chave GPG correta. Há apenas uma verificação para ver se o autor está definido como `dependabot[bot]` para determinar se o PR é legítimo. Teoricamente, o proprietário de uma ação aparentemente válida e legítima no pipeline pode verificar se o PR foi criado pelo dependabot e se sua própria ação possui permissões suficientes para modificar o PR no pipeline. Se for o caso, ele pode modificar o PR adicionando um segundo commit aparentemente válido e legítimo ao PR, já que pode definir arbitrariamente o `username` e o `email` nos commits no git. Como o bot verifica apenas se o autor é válido, ele permitiria a passagem das alterações maliciosas e mesclaria o PR automaticamente, sem que os mantenedores do projeto percebessem. Provavelmente não seria possível determinar de onde veio o commit malicioso, já que ele indicaria apenas `dependabot[bot]` e o endereço de e-mail correspondente. **Recomendações** Para versões anteriores à 3.2.0, atualize para a versão 3.2.0 ou posterior para resolver o problema. Como solução temporária, considere verificar manualmente os commits nas pull requests do dependabot antes de mesclá-las. Restrinja o acesso ao pipeline para minimizar o risco de exploração. Evite usar o `username` e o `email`