Yuexi Zhang

**Nome do software vulnerável e versões afetadas** netbird versão 0.28.4 **Descrição** A vulnerabilidade diz respeito a um vetor de inicialização (IV) estático utilizado na função de criptografia, permitindo que invasores obtenham informações confidenciais. Esse IV estático é utilizado no código disponível em github.com/netbirdio/netbird. **Recomendações** Para a versão 0.28.4 do netbird, atualize para uma versão que corrija o problema do vetor de inicialização estático na função de criptografia, a fim de impedir que invasores obtenham informações confidenciais. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Navidrome versão 0.52.3 **Descrição** O problema diz respeito ao uso de um algoritmo de hash inseguro, especificamente o MD5, no serviço Gravatar do Navidrome. Isso permite que invasores manipulem as informações da conta de um usuário. **Recomendações** Para a versão 0.52.3 do Navidrome, considere desativar o uso do algoritmo de hash MD5 no serviço Gravatar até que uma alternativa segura seja implementada. Restrinja o acesso às informações da conta para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** casdoor versão 1.636.0 **Descrição** Uma falha no casdoor permite que invasores obtenham informações confidenciais por meio do método `ssh.InsecureIgnoreHostKey()`, que desativa a verificação da chave do host. Esse método é utilizado em github.com/casdoor/casdoor. **Recomendações** Para a versão 1.636.0 do casdoor, considere desativar o uso do método `ssh.InsecureIgnoreHostKey()` para impedir a contornamento da verificação da chave do host até que um patch esteja disponível. Restrinja o acesso a informações confidenciais para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** cortex versão 0.42.1 **Descrição** Um problema na verificação de certificados TLS permite que invasores obtenham informações confidenciais por meio da função `makeOperatorRequest`. Isso ocorre porque o cortex estabelece conexões TLS com a variável `InsecureSkipVerify` definida como `true`. **Recomendações** Para a versão 0.42.1 do cortex, considere desativar a função `makeOperatorRequest` até que uma correção esteja disponível e restrinja o uso de `InsecureSkipVerify` para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Versões 2.2.0 e anteriores do beego **Descrição** A vulnerabilidade permite que um invasor remoto obtenha privilégios elevados por meio da função `getCacheFileName` no arquivo `file.go`. **Recomendações** Para as versões 2.2.0 e anteriores do beego, no momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** mmudb versão 1.9.3 **Descrição** O problema diz respeito ao uso do protocolo HTTP nas funções `ShowMetricsRaw` e `ShowMetricsAsText`, o que poderia permitir que invasores interceptassem comunicações por meio de um ataque man-in-the-middle. **Recomendações** Para a versão 1.9.3 do mmudb, considere desativar as funções `ShowMetricsRaw` e `ShowMetricsAsText` até que esteja disponível uma correção que utilize um protocolo seguro, como o HTTPS, para criptografar as comunicações e impedir a interceptação. Restrinja o acesso a essas funções para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Versões 2.2.0 e anteriores do beego **Descrição** Uma falha no beego permite que um invasor remoto obtenha privilégios elevados por meio da função `sendMail`, localizada no arquivo `beego/core/logs/smtp.go`. **Recomendações** Para as versões 2.2.0 e anteriores do beego, considere desativar a função `sendMail` como uma solução temporária até que um patch esteja disponível. Restrinja o acesso ao arquivo `beego/core/logs/smtp.go` para minimizar o risco de exploração.