Vovikhangcdv

**Nome do software vulnerável e versões afetadas** Versões do v8n anteriores à 1.5.1 **Descrição** O problema está relacionado à complexidade ineficiente das expressões regulares nas funções `lowercase()` e `uppercase()` da biblioteca de validação JavaScript v8n. Isso pode levar a um ataque de negação de serviço. O teste da função `lowercase()` com uma carga útil de ‘a’ + ‘a’.repeat(i) + ‘A’ e 32 caracteres iniciais levou 29.443 ms para ser executado. O mesmo problema ocorre com `uppercase()`. **Recomendações** Para versões anteriores à 1.5.1, atualize para a versão 1.5.1 ou posterior para resolver o problema. Como solução temporária, considere desativar as funções `lowercase()` e `uppercase()` até que um patch esteja disponível. Restrinja o acesso a essas funções para minimizar o risco de exploração. Evite usar as funções `lowercase()` e `uppercase()` em áreas sensíveis do aplicativo até que o problema seja resolvido.

**Nome do software vulnerável e versões afetadas** Versões do Bookwyrm anteriores à 0.4.1 **Descrição** O problema diz respeito a um programa de leitura e resenhas sociais de código aberto, no qual as versões anteriores à 0.4.1 não sanitizavam adequadamente o HTML exibido aos usuários. Usuários sem privilégios podem injetar scripts em perfis de usuário, descrições de livros e status, o que pode levar a ataques de cross-site scripting contra usuários que visualizam esses campos. **Recomendações** Para versões anteriores à 0.4.1, atualize para a versão 0.4.1 para resolver o problema. Como solução temporária, considere restringir o acesso a perfis de usuário, descrições de livros e status até que a atualização seja aplicada. Evite usar os campos afetados no programa até que o problema seja resolvido.

**Nome do software vulnerável e versões afetadas** Versões do moment anteriores à 2.29.4 **Descrição** O problema está relacionado a um algoritmo de análise ineficiente utilizado na biblioteca de data do JavaScript moment, especificamente na análise de strings para datas e na análise rfc2822. Isso resulta em complexidade quadrática em entradas específicas, causando uma lentidão perceptível com entradas acima de 10 mil caracteres. Usuários que passam strings fornecidas pelo usuário sem verificações de comprimento válidas para o construtor do moment estão vulneráveis a ataques (Re)DoS. **Recomendações** Para versões do moment anteriores à 2.29.4, atualize para a versão 2.29.4 ou posterior. Como solução alternativa temporária, considere limitar o comprimento da entrada do usuário a algo razoável, como 200 caracteres ou menos, para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Versões 1.x do Luxon anteriores à 1.38.1 Versões 2.x do Luxon anteriores à 2.5.2 Versões 3.x do Luxon anteriores à 3.2.1 Versões do Moment anteriores à 2.29.4 **Descrição** O problema está relacionado à complexidade quadrática (N^2) na análise de data e hora em entradas específicas, causando uma lentidão perceptível para entradas com comprimentos acima de 10 mil caracteres. Usuários que fornecem dados não confiáveis aos métodos afetados estão vulneráveis a ataques (Re)DoS. O problema tem origem no código que remove comentários legados de strings durante a análise rfc2822. **Recomendações** Para versões do Luxon 1.x anteriores à 1.38.1, atualize para a versão 1.38.1 ou posterior. Para versões do Luxon 2.x anteriores à 2.5.2, atualize para a versão 2.5.2 ou posterior. Para versões do Luxon 3.x anteriores à 3.2.1, atualize para a versão 3.2.1 ou posterior. Para versões do Moment anteriores à 2.29.4, atualize para a versão 2.29.4 ou posterior. Como solução temporária, considere limitar o comprimento da entrada a algo razoável, como 200 caracteres ou menos, para minimizar o risco de exploração.