York Shen

**Nome do Software Vulnerável e Versões Afetadas** logback-core versões anteriores a 1.5.34 **Description** A desserialização de dados não confiáveis no módulo `HardenedObjectInputStream` permite a Injeção de Objetos, embora o impacto seja fortemente restringido. Um invasor capaz de influenciar dados serializados enviados para os endpoints 'SimpleSocketServer' ou 'SimpleSSLSocketServer' pode instanciar objetos Proxy. Este problema representa uma violação das restrições de segurança pretendidas, embora nenhum método prático para execução remota de código ou escalonamento significativo de privilégios tenha sido identificado. **Recommendations** Atualize para uma versão posterior a 1.5.33.

**Nome do Software Vulnerável e Versões Afetadas** logback versões anteriores a 1.5.33 **Descrição** A desserialização de dados não confiáveis no módulo `HardenedObjectInputStream` do logback-core permite a Injeção de Objetos de forma restrita. Um invasor capaz de influenciar dados serializados enviados para os endpoints 'SimpleSocketServer' ou 'SimpleSSLSocketServer' pode instanciar objetos dos pacotes `java.lang` e `java.util` que não estejam explicitamente bloqueados. Este problema representa uma violação das restrições de segurança pretendidas, embora nenhum método prático para execução remota de código ou escalonamento significativo de privilégios tenha sido identificado. **Recomendações** Atualize para uma versão posterior a 1.5.32.

**Nome do Software Vulnerável e Versões Afetadas** MiroFish versões anteriores a 0.1.2 **Descrição** A injeção de comando é possível através do componente de Comunicação Inter-Processos. O problema reside na função `SimulationIPCClient.send command()` no arquivo `backend/app/services/simulation ipc.py`, permitindo que um invasor remoto execute comandos arbitrários. **Recomendações** Como medida paliativa temporária, considere restringir o uso da função `SimulationIPCClient.send command()` até que uma correção esteja disponível. No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** MiroFish versões anteriores a 0.1.2 **Descrição** Um problema de path traversal existe no componente Query Parameter Handler, dentro da função `get simulation posts()` do arquivo `backend/app/api/simulation.py`. Um invasor remoto pode disparar isso ao manipular o argumento `Platform`. Path traversal é uma técnica que permite a um invasor acessar arquivos e diretórios que estão armazenados fora da pasta raiz do servidor web. **Recomendações** Atualize para uma versão posterior a 0.1.2. Como medida paliativa temporária, restrinja ou valide a entrada do argumento `Platform` utilizado na função `get simulation posts()`.

**Nome do Software Vulnerável e Versões Afetadas** vanna-ai vanna versões anteriores a 2.0.3 **Descrição** Um problema de autorização inadequada existe no componente Legacy Flask API. Esta falha permite que um invasor remoto ignore os mecanismos de autorização através da manipulação de uma função desconhecida. **Recomendações** Atualize para uma versão posterior a 2.0.2. Como medida paliativa temporária, restrinja o acesso ao componente Legacy Flask API para minimizar o risco de exploração.

**Name of the Vulnerable Software and Affected Versions** zhatujie chatgpt-on-wechat CowAgent versões até 2.0.4 **Description** Uma falha foi detectada no componente Agent Mode Service do zhayujie chatgpt-on-wechat CowAgent até a versão 2.0.4, permitindo a falta de autenticação. Esta questão pode ser explorada remotamente através de uma manipulação. O exploit está publicamente disponível. O projeto foi notificado sobre o problema, mas ainda não respondeu. **Recommendations** No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.