Xeloxa

**Nome do Software Vulnerável e Versões Afetadas** github.com/gofiber/fiber/v3 versões anteriores a 3.1.0 **Descrição** O gerador de chaves padrão no middleware de cache utiliza apenas o caminho da requisição através da função `c.Path()` e exclui a string de consulta (query string). Consequentemente, requisições direcionadas ao mesmo caminho, mas que contêm parâmetros de consulta diferentes, são mapeadas para a mesma chave de cache. Isso leva a confusões nas respostas, onde um usuário pode receber uma resposta em cache destinada a uma requisição diferente, potencialmente expondo ou corrompendo conteúdo específico de usuário ou locatário em endpoints onde a resposta depende de parâmetros de consulta. **Recomendações** Atualize para a versão 3.1.0 ou posterior.

**Nome do Software Vulnerável e Versões Afetadas** Evolver versões anteriores a 1.69.3 **Description** Um problema de path traversal existe no comando de download de habilidades (fetch). A flag `--out=` aceita caminhos fornecidos pelo usuário sem a validação adequada, permitindo que atacantes gravem arquivos em locais arbitrários no sistema de arquivos. Isso pode levar à sobrescrita de arquivos críticos do sistema ou à criação de arquivos em locais sensíveis. **Recommendations** Atualize para a versão 1.69.3.

**Nome do Software Vulnerável e Versões Afetadas** Evolver versões anteriores a 1.69.3 **Description** Um problema de injeção de comando existe na função ` extractLLM()`. A função constrói um comando curl usando concatenação de strings e o passa para `execSync()` sem a sanitização adequada. Isso permite que atacantes executem comandos de shell arbitrários no servidor quando o parâmetro `corpus` contém metacaracteres de shell, levando à execução remota de código. **Recommendations** Atualize para a versão 1.69.3. Como medida paliativa temporária, restrinja ou sanitize a entrada fornecida ao parâmetro `corpus` utilizado na função ` extractLLM()`.

**Nome do Software Vulnerável e Versões Afetadas** Evolver versões anteriores a 1.69.3 **Descrição** Um problema de poluição de protótipo no módulo de armazenamento de caixa de correio permite que invasores modifiquem o comportamento de todos os objetos JavaScript injetando propriedades maliciosas no Object.prototype. A falha ocorre nas funções ` applyUpdate()` e ` updateRecord()`, que utilizam Object.assign() para mesclar dados controlados pelo usuário sem filtrar chaves perigosas como ` proto `, `constructor` ou `prototype`. **Recomendações** Atualizar para a versão 1.69.3.