Wuhan005

**Nome do software vulnerável e versões afetadas** Versões do Gogs anteriores à 0.12.9 **Descrição** O problema está relacionado a uma vulnerabilidade XSS na lista de issues do repositório do Gogs, um serviço Git de código aberto auto-hospedado. Nas versões afetadas, o campo `DisplayName` não filtra os caracteres inseridos pelos usuários, o que leva a uma vulnerabilidade XSS quando exibidos diretamente na lista de issues. Recomenda-se que os usuários atualizem para resolver o problema. Para usuários que não possam atualizar, recomenda-se verificar se os nomes de exibição dos usuários contêm caracteres maliciosos. **Recomendações** Para versões anteriores à 0.12.9, atualize para a 0.12.9 ou a versão mais recente 0.13.0+dev para resolver o problema. Como solução alternativa temporária, verifique e atualize os nomes de exibição dos usuários existentes que contenham caracteres maliciosos.

**Nome do software vulnerável e versões afetadas** OctoRPKI (versões afetadas não especificadas) **Descrição** A vulnerabilidade permite que um repositório crie um arquivo que possa ser gravado no disco fora da pasta de cache base, devido à falha na escapagem de um URI com um nome de arquivo contendo “..”. Isso poderia possibilitar a execução remota de código na máquina host que executa o OctoRPKI. A vulnerabilidade está relacionada a ataques de traversal de diretório, nos quais a função `ExtractPathManifest` permite caminhos de arquivo contendo componentes de diretório relativos (“..”), permitindo que os arquivos façam referência a locais arbitrários no sistema de arquivos. Por exemplo, um repositório poderia criar um arquivo usando o URI `rsync://example.org/repo/../../etc/cron.daily/evil.roa`. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.