Skip to content
New issue

Have a question about this project? Sign up for a free GitHub account to open an issue and contact its maintainers and the community.

Sign up for GitHub

By clicking “Sign up for GitHub”, you agree to our terms of service and privacy statement. We’ll occasionally send you account related emails.

Already on GitHub? Sign in to your account

Jump to bottom

Atualizar dependências com vulnerabilidades #391

Open
pvdevs opened this issue Sep 30, 2024 · 0 comments
Open

Atualizar dependências com vulnerabilidades #391

pvdevs opened this issue Sep 30, 2024 · 0 comments
Labels
bug fix Algo que gerou erro(s) na aplicação manutenção-squad Manutenção Squad

Comments

@pvdevs
Copy link
Contributor

pvdevs commented Sep 30, 2024
edited
Loading

Vulnerabilidades de Alta e Média Severidade nas Dependências do Projeto

TL;DR - O que Atualizar

🔴 Severidade Alta

🟡 Severidade Média

Descrição Geral

Identifiquei vulnerabilidades nas dependências do projeto, através da ferramenta de análise de dependências (Red Hat Dependency Analytics). Este issue visa categorizar as vulnerabilidades por severidade (alta e baixa) e propor ações para correção.

🔴 Severidade Alta

Essas vulnerabilidades devem ser tratadas com prioridade máxima, devido ao alto risco de exploit no ambiente de produção.

1. react-scripts

  • Dependência: react-scripts
  • Vulnerabilidades Transitivas:
    • [email protected]
      • CVE: CVE-2024-45590
      • Descrição: Vulnerabilidade de negação de serviço (DoS) no body-parser, que pode ser exploitada para causar falha no processamento de requests.
      • Ação Recomendada: Atualizar body-parser para a versão 1.20.3 ou superior.
    • [email protected]
      • CVE: CVE-2024-29180
      • Descrição: Vulnerabilidade no webpack-dev-middleware que pode permitir execução não autorizada de código durante o desenvolvimento.
      • Ação Recomendada: Atualizar webpack-dev-middleware para a versão mais recente.

🟡 Severidade Média

Essas vulnerabilidades têm um risco moderado de exploit e devem ser tratadas após a mitigação das vulnerabilidades de alta severidade.

1. react-scripts

  • Dependência: react-scripts
  • Vulnerabilidades Transitivas:
    • [email protected]
      • CVE: CVE-2024-29041
      • CVE: CVE-2024-43796
      • Descrição: Vulnerabilidades em express, relacionadas a falhas de segurança em rotas e manipulação de erros.
      • Ação Recomendada: Atualizar express para a versão mais recente (superior a 4.18.3).
    • [email protected]
      • CVE: CVE-2024-33883
      • Descrição: Falha de XSS (Cross-Site Scripting) em ejs, permitindo que um invasor injete scripts maliciosos na aplicação.
      • Ação Recomendada: Atualizar ejs para a versão mais recente.

2. axios

  • Dependência: [email protected]
  • Vulnerabilidade Direta:
    • CVE: CVE-2023-45857
      • Descrição: Vulnerabilidade de segurança no [email protected], que permite que ataques de manipulação de dados ocorram por meio de requisições malformadas.
      • Ação Recomendada: Atualizar axios para uma versão mais recente (acima de 0.27.2).
@wouerner wouerner added bug fix Algo que gerou erro(s) na aplicação manutenção-squad Manutenção Squad labels Oct 1, 2024
Sign up for free to join this conversation on GitHub. Already have an account? Sign in to comment
Assignees
No one assigned
Labels
bug fix Algo que gerou erro(s) na aplicação manutenção-squad Manutenção Squad
Projects
Portal de Vagas (vagas.soujunior.tech)
Status: No status
Milestone
No milestone
Development

No branches or pull requests
2 participants
@wouerner @pvdevs