Yoyochaud

**Nome do Software Vulnerável e Versões Afetadas** DumbAssets versões 1.0 through 1.0.11 **Descrição** Um problema de path traversal existe no endpoint 'POST /api/delete-file' através dos parâmetros de array `filesToDelete`. Isso permite que atacantes não autenticados ignorem a validação de limite de diretório usando sequências ../ para navegar fora do diretório pretendido da aplicação. Isso pode levar à exclusão de arquivos críticos, como `server.js` ou `package.json`, resultando em uma negação de serviço completa. Path traversal é uma técnica usada para acessar arquivos e diretórios que estão armazenados fora da pasta raiz da web. **Recomendações** Para as versões 1.0 through 1.0.11, evite usar o parâmetro `filesToDelete` no endpoint 'POST /api/delete-file' até que uma correção seja aplicada. No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** DumbAssets versões 1.0 through 1.0.11 **Description** Um problema de cross-site scripting armazenado existe em campos de ativos, especificamente `name`, `description`, `modelNumber`, `serialNumber` e `tags`. Esses campos são armazenados sem sanitização no lado do servidor e renderizados usando innerHTML sem escape no lado do cliente. Atacantes podem usar endpoints de API de ativos para criar ou atualizar ativos com payloads de HTML ou JavaScript, permitindo a execução de scripts arbitrários nos navegadores de usuários que visualizam a lista de ativos. Se a Content-Security-Policy estiver desativada, esses scripts injetados podem estabelecer conexões irrestritas com serviços de rede internos. **Recommendations** No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.