Wing Chan

**Nome do software vulnerável e versões afetadas** Versões do snyk-broker anteriores à 4.73.0 **Descrição** A vulnerabilidade permite a leitura arbitrária de arquivos por usuários com acesso à rede interna do Snyk por meio de traversal de diretório. **Recomendações** Para versões anteriores à 4.73.0, atualize para a versão 4.73.0 ou posterior para resolver o problema.

**Nome do software vulnerável e versões afetadas** Versões do snyk-broker anteriores à 4.72.2 **Descrição** A vulnerabilidade permite a leitura arbitrária de arquivos por usuários com acesso à rede interna do Snyk. Isso pode ser feito anexando à URL um identificador de fragmento e um caminho incluído na lista de permissões, como `#package.json`. **Recomendações** Para versões anteriores à 4.72.2, atualize para a versão 4.72.2 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso à rede interna para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Versões do snyk-broker de 4.72.0 a 4.73.1 **Descrição** A vulnerabilidade permite a leitura arbitrária de arquivos por usuários com acesso à rede interna da Snyk. Ela afeta arquivos com as seguintes extensões: yaml, yml ou json. **Recomendações** Para as versões 4.72.0 a 4.73.1 do snyk-broker, atualize para uma versão posterior à 4.73.1 para resolver o problema. Como solução temporária, considere restringir o acesso a arquivos com extensões yaml, yml ou json para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Versões do snyk-broker anteriores à 4.80.0 **Descrição** A vulnerabilidade permite a leitura arbitrária de arquivos por usuários com acesso à rede interna do Snyk por meio de traversal de diretório. **Recomendações** Para versões anteriores à 4.80.0, atualize para a versão 4.80.0 ou posterior para resolver o problema.

**Nome do software vulnerável e versões afetadas** Versões do snyk-broker anteriores à 4.80.0 **Descrição** A vulnerabilidade permite a leitura arbitrária de arquivos por usuários com acesso à rede interna da Snyk, por meio da criação de links simbólicos que correspondem a caminhos incluídos na lista de permissões. **Recomendações** Para versões anteriores à 4.80.0, atualize para a versão 4.80.0 ou posterior para resolver o problema.

**Nome do software vulnerável e versões afetadas** Versões do snyk-broker anteriores à 4.73.1 **Descrição** O problema diz respeito à exposição de informações, na qual chaves privadas são registradas no log se o nível de registro estiver definido como DEBUG. **Recomendações** Para versões anteriores à 4.73.1, atualize para a versão 4.73.1 ou posterior para resolver o problema. Como solução temporária, considere definir o nível de registro em um valor diferente de DEBUG para impedir o registro de chaves privadas. Restrinja o acesso aos arquivos de log para minimizar o risco de exploração.