William Tantiono

**Name of the Vulnerable Software and Affected Versions** perfood/couch-auth versions <= 0.21.2 **Description** A host header injection vulnerability exists in the NPM package of perfood/couch-auth. By sending a specially crafted host header in the email change confirmation request, it is possible to trigger a Server-Side Template Injection (SSTI) which can be leveraged to run limited commands or leak server-side information. **Recommendations** For perfood/couch-auth versions <= 0.21.2, consider disabling the email change confirmation feature until a patch is available. Restrict access to the vulnerable module to minimize the risk of exploitation. Avoid using the `host` header in the affected API endpoint until the issue is resolved. At the moment, there is no information about a newer version that contains a fix for this vulnerability.

**Nome do Software Vulnerável e Versões Afetadas** Versões do Stock-Forecaster <=01-04-2020 **Descrição** Existe uma vulnerabilidade que permite a realização de injeção de SQL. Ao enviar um parâmetro `stock-symbol` especialmente elaborado ao endpoint "portofolio()", é possível desencadear uma injeção de SQL na aplicação. Como resultado, o atacante poderá acessar dados dos usuários ou manipular o comportamento do software. **Recomendações** Para as versões do Stock-Forecaster <=01-04-2020, como medida paliativa temporária, considere desativar o endpoint "portofolio()" até que uma correção esteja disponível. Restrinja o acesso ao parâmetro `stock-symbol` no endpoint afetado para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.