Vmayoral

**Nome do software vulnerável e versões afetadas** actionlib (versões afetadas não especificadas) **Descrição** O problema é causado por uma análise insegura de valores YAML no pacote ROS core do actionlib, permitindo a instanciação de objetos arbitrários. Isso ocorre quando uma mensagem de ação é processada para ser enviada, possibilitando a criação de objetos Python. Um invasor com acesso local ou remoto pode explorar essa falha para executar código arbitrário em Python no ROS Master. **Recomendações** Considere usar `yaml.safe load()` em vez do método de carregamento inseguro para impedir a instanciação de objetos arbitrários. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Name of the Vulnerable Software and Affected Versions** SROS 2 version 0.8.1 **Description** The issue is related to a leaky default configuration, as indicated in the policy/defaults/dds/governance.xml document, which causes SROS 2 to leak node information. This leak is due to the default configuration used by SROS 2, which provides tools for generating and distributing keys for Robot Operating System 2 and utilizes the underlying security plugins of DDS from ROS 2. **Recommendations** For SROS 2 version 0.8.1, review and adjust the configuration settings in the policy/defaults/dds/governance.xml document to prevent node information leaks. Consider modifying the default configuration to enhance security and restrict unnecessary information disclosure.

**Name of the Vulnerable Software and Affected Versions** SROS 2 version 0.8.1 **Description** The issue concerns a leak of ROS 2 node-related information, which occurs regardless of the rtps protection kind configuration. SROS2 is a tool that generates and distributes keys for Robot Operating System 2, utilizing the underlying security plugins of DDS from ROS 2. **Recommendations** For SROS 2 version 0.8.1, at the moment, there is no information about a newer version that contains a fix for this vulnerability.