Yadhukrishnam

**Nome do Software Vulnerável e Versões Afetadas** Versões do n8n anteriores a 1.123.17 Versões do n8n anteriores a 2.5.2 **Descrição** O n8n é uma plataforma de automação de fluxo de trabalho de código aberto. Existe uma falha na qual um usuário autenticado com permissões de criação ou modificação de fluxos de trabalho pode explorar expressões manipuladas dentro dos parâmetros do fluxo de trabalho para acionar a execução de comandos arbitrários do sistema no sistema host. Esta vulnerabilidade contorna correções anteriores e permite a execução remota de código, potencialmente levando ao roubo de credenciais e ao comprometimento completo do sistema host. Webhooks públicos podem ser explorados para disparar execução remota. **Recomendações** Atualize o n8n para a versão 1.123.17 ou posterior. Atualize o n8n para a versão 2.5.2 ou posterior. Se a atualização não for possível imediatamente, limite as permissões de criação e edição de fluxos de trabalho apenas a usuários totalmente confiáveis. Implante o n8n em um ambiente fortificado com privilégios do sistema operacional restritos e acesso à rede restrito.

**Nome do Software Vulnerável e Versões Afetadas** Versões do n8n anteriores à 1.123.10 Versões do n8n anteriores à 2.5.0 **Descrição** O n8n, uma plataforma de automação de fluxo de trabalho de código aberto, contém uma falha no nó Git. Isso permite que usuários autenticados com permissões de criar ou modificar fluxos de trabalho executem comandos arbitrários do sistema ou leiam arquivos arbitrários no host do n8n. O problema impacta sistemas onde os usuários têm a capacidade de criar ou modificar fluxos de trabalho. Não há informações disponíveis sobre o número de dispositivos potencialmente afetados em todo o mundo ou sobre quaisquer incidentes reais de exploração. O nó Git é um componente usado para interagir com repositórios Git. O `nó Git` permite aos usuários realizar ações como clonar, puxar (pull) e enviar (push) alterações para repositórios Git. **Recomendações** Atualize para a versão 1.123.10 ou posterior do n8n. Atualize para a versão 2.5.0 ou posterior do n8n. Se a atualização não for imediatamente possível, limite as permissões de criação e edição de fluxos de trabalho apenas a usuários totalmente confiáveis. Se a atualização não for imediatamente possível, restrinja ou desabilite o acesso ao nó Git se ele não for essencial para as operações. Se a atualização não for imediatamente possível, implante o n8n em um ambiente endurecido com privilégios de sistema operacional e acesso de rede restritos.

**Nome do software vulnerável e versões afetadas** Versões da extensão do navegador Hoppscotch anteriores à 0.35 **Descrição** O problema decorre de uma falha na extensão do navegador Hoppscotch, permitindo que mensagens sejam enviadas e processadas a partir de origens não autorizadas. Isso expõe os usuários a riscos potenciais de segurança, pois qualquer site executado no navegador com a extensão instalada pode contornar as restrições CORS. A vulnerabilidade pode levar à validação incorreta dos valores de verificação de integridade, resultando potencialmente no comprometimento do sistema. **Recomendações** Para versões anteriores à 0.35, atualize para a versão 0.35 ou posterior para resolver o problema. Como solução alternativa temporária para usuários do Chrome, considere desativar o acesso da extensão apenas às origens que você deseja por meio das Configurações de Extensões. Para usuários do Firefox, atualize para uma versão corrigida, pois não há solução alternativa disponível.

**Name of the Vulnerable Software and Affected Versions** D-Tale versions prior to 3.7.0 **Description** The issue allows remote code execution, enabling attackers to run malicious code on the server. This is particularly concerning for users hosting D-Tale publicly. The estimated number of potentially affected devices worldwide is not specified. There is no information provided about real-world incidents where this issue was exploited. **Recommendations** For versions prior to 3.7.0, the only workaround is to host D-Tale to trusted users. For all affected versions, upgrade to version 3.7.0, where the "Custom Filter" input is turned off by default, to fully resolve the issue.

**Name of the Vulnerable Software and Affected Versions** Node.js versions v16 through v20 **Description** The issue is related to the llhttp parser in the http module, which does not strictly use the CRLF sequence to delimit HTTP requests, leading to HTTP Request Smuggling (HRS). The CR character (without LF) is sufficient to delimit HTTP header fields in the llhttp parser, contrary to RFC7230 section 3, which states that only the CRLF sequence should delimit each header-field. **Recommendations** For Node.js versions v16 through v20, at the moment, there is no information about a newer version that contains a fix for this vulnerability.