Zi0Black

**Nome do Software Vulnerável e Versões Afetadas** Versões do OpenVSX v0.9.0 até v0.20.0 **Descrição** O problema permite que um usuário edite todos os detalhes do namespace, incluindo nome, descrição, site, link de suporte e links de redes sociais, mesmo que o usuário não seja um Proprietário ou Contribuidor do namespace. Isso é possível através do endpoint da API `/user/namespace/{namespace}/details` e também afeta o endpoint `/user/namespace/{namespace}/details/logo`, permitindo que um usuário altere o logo. **Recomendações** Para as versões do OpenVSX v0.9.0 até v0.20.0, considere restringir o acesso aos endpoints da API `/user/namespace/{namespace}/details` e `/user/namespace/{namespace}/details/logo`, permitindo apenas que usuários autorizados, como Proprietários ou Contribuidores do namespace, editem os detalhes do namespace e alterem logos. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Versões do Google Chrome anteriores à 106.0.5249.62 Microsoft Edge (versões afetadas não especificadas) **Descrição** O problema está relacionado à aplicação insuficiente de políticas nas ferramentas de desenvolvedor, permitindo que um invasor remoto possa, potencialmente, escapar da sandbox por meio de uma página HTML maliciosa. Isso poderia permitir que o invasor contornasse as restrições de segurança existentes e divulgasse informações protegidas usando um site especialmente criado para esse fim. **Recomendações** Para versões do Google Chrome anteriores à 106.0.5249.62, atualize para a versão 106.0.5249.62 ou posterior para resolver o problema. Para o Microsoft Edge, no momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas: NAS da QNAP executando versões do Q’center anteriores à v1.10.1004 NAS da QNAP executando versões do Q’center anteriores à v1.12.1012 Descrição: Foi relatada uma vulnerabilidade de XSS refletido pós-autenticação que afeta os NAS da QNAP que executam o Q’center. Se explorada, essa vulnerabilidade permite que invasores remotos injetem código malicioso. Recomendações: Para o QTS 4.5.3, atualize para o Q’center v1.12.1012 ou posterior. Para o QTS 4.3.6, atualize para o Q’center v1.10.1004 ou posterior. Para o QTS 4.3.3, atualize para o Q’center v1.10.1004 ou posterior. Para o QuTS hero h4.5.2, atualize para o Q’center v1.12.1012 ou posterior. Para o QuTScloud c4.5.4, atualize para o Q’center v1.12.1012 ou posterior.

Name of the Vulnerable Software and Affected Versions: Cisco node-jose versions prior to 0.11.0 Description: A security issue exists due to the node-jose library following the JSON Web Signature (JWS) standard for JSON Web Tokens (JWTs), which allows a JSON Web Key (JWK) representing a public key to be embedded within the header of a JWS. This public key is then trusted for verification. An attacker could exploit this by forging valid JWS objects, removing the original signature, adding a new public key to the header, and then signing the object using the associated private key. Recommendations: For versions prior to 0.11.0, update to version 0.11.0 or later to resolve the issue. As a temporary workaround, consider restricting the use of JSON Web Tokens (JWTs) that contain embedded public keys until a patch is applied. Avoid trusting public keys embedded in JWS headers to minimize the risk of exploitation.