CVE-2024-39919

Versões do @jmondi/url-to-png anteriores à 2.1.1

O problema diz respeito à ALLOW LIST no pacote @jmondi/url-to-png, que permite a captura de capturas de tela de serviços web em execução no localhost, 127.0.0.1 ou [::] por padrão. Se hospedado em um servidor, os usuários poderiam capturar capturas de tela de outros serviços web em execução localmente, potencialmente expondo serviços web internos. Isso foi resolvido com a adição de uma lista de bloqueio na versão 2.1.1.

Para versões anteriores à 2.1.1, atualize para a versão 2.1.1 para resolver o problema. Como solução temporária, considere restringir o acesso à ALLOW LIST para minimizar o risco de exploração. Evite usar o pacote para capturar capturas de tela de serviços web internos até que o problema seja resolvido. No momento, não há outras informações sobre medidas de mitigação adicionais.