Zuhairorzaki

**Nome do software vulnerável e versões afetadas** Versões do CKAN anteriores à 2.9.11 Versões do CKAN anteriores à 2.10.4 **Descrição** Um endpoint de usuário não realizava filtragem em um parâmetro recebido, que era adicionado diretamente ao log do aplicativo. Isso poderia permitir que um invasor injetasse entradas falsas no log ou corrompesse o formato do arquivo de log. O problema está relacionado ao endpoint `/user/reset` e ao parâmetro `id`. **Recomendações** Para versões do CKAN anteriores à 2.9.11, atualize para a versão 2.9.11 ou posterior. Para versões do CKAN anteriores à 2.10.4, atualize para a versão 2.10.4 ou posterior. Como solução alternativa temporária para usuários que não possam atualizar, substitua o endpoint “/user/reset” para filtrar o parâmetro `id`, a fim de excluir quebras de linha.

**Nome do software vulnerável e versões afetadas** MSS (Mission Support System) versões anteriores à 8.3.3 **Descrição** O MSS é um pacote de código aberto projetado para o planejamento de voos de pesquisa atmosférica. O problema diz respeito a um método no arquivo `index.py` que é vulnerável a ataques de manipulação de caminho. Um invasor pode modificar caminhos de arquivos para obter informações confidenciais de diferentes recursos, atribuindo um valor contendo ../ à variável `filename`. Isso permite que o invasor manipule o arquivo que está sendo lido e, potencialmente, obtenha acesso a outros arquivos no sistema de arquivos do host. **Recomendações** Para versões do MSS anteriores à 8.3.3, atualize para a versão 8.3.3 para resolver o problema. Como solução temporária, considere restringir o acesso à variável `filename` para impedir ataques de manipulação de caminho. Além disso, restrinja o acesso a arquivos e recursos confidenciais para minimizar o risco de exploração.