Vasilii Ermilov

#11476de 53,635
24CVSS total
Vulnerabilidades · 3
Alta
3
PT-2020-19765
7.6
2020-10-20
Osm Static Maps · Osm-Static-Maps · CVE-2020-7749
**Nome do software vulnerável e versões afetadas** Versões do osm-static-maps anteriores à 3.9.0 **Descrição** O problema decorre do fato de que a entrada do usuário é passada diretamente para um modelo sem o escapamento adequado, utilizando {{{ ... }}}. Isso permite que um invasor injete código HTML ou JavaScript arbitrário. Dependendo do contexto, isso pode levar a Cross-Site Scripting (XSS) se o código for exibido como HTML na página, ou a Server-Side Request Forgery (SSRF) e Local File Read se o código for renderizado no servidor usando o puppeteer. **Recomendações** Para versões anteriores à 3.9.0, atualize para a versão 3.9.0 ou posterior para resolver o problema. Como solução temporária, considere desativar o uso de entradas do usuário em modelos até que um patch esteja disponível. Restrinja o acesso ao servidor do puppeteer para minimizar o risco de exploração de SSRF e leitura de arquivos locais. Evite usar a sintaxe {{{ ... }}} em modelos até que o problema seja resolvido.
PT-2020-19756
8.2
2020-10-06
Phantomjs · Phantomjs-Seo · CVE-2020-7739
**Nome do software vulnerável e versões afetadas** phantomjs-seo (versões afetadas não especificadas) **Descrição** A vulnerabilidade permite que um invasor crie uma URL que será passada para uma instância do PhantomJS, possibilitando um ataque de falsificação de solicitação do lado do servidor (SSRF). **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
PT-2020-19757
8.2
2020-10-06
Node.Js · Node-Pdf-Generator · CVE-2020-7740
**Nome do software vulnerável e versões afetadas** Versões do node-pdf-generator até e incluindo a 0.0.6 **Descrição** O problema decorre da falta de validação e sanitização das entradas do usuário no conteúdo fornecido ao node-pdf-generator, permitindo que um invasor crie uma URL que será enviada a um servidor externo. Isso possibilita um ataque de falsificação de solicitação do lado do servidor (SSRF). **Recomendações** Para versões até e incluindo a 0.0.6, atualize para uma versão que inclua validação e sanitização de entradas para o conteúdo passado ao node-pdf-generator. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.