Atualizar dependências com vulnerabilidades

# **Vulnerabilidades de Alta e Média Severidade nas Dependências do Projeto**

## **TL;DR - O que Atualizar**

### 🔴 **Severidade Alta**

- **axios@1.6.7** → Atualizar para **1.7.3** ou superior.
- **body-parser@1.20.1 e 1.20.2** → Atualizar para **1.20.3** ou superior.
- **path-to-regexp@0.1.7 e 3.2.0** → Atualizar para **0.1.10** ou **8.0.0** ou superior.
- **webpack-dev-middleware@5.3.3** → Atualizar para **5.3.4** ou superior.
- **braces@3.0.2** → Atualizar para **3.0.3** ou superior.
- **html-minifier@4.0.0** → Atualizar para **4.0.1** ou superior.

### 🟡 **Severidade Média**

- **follow-redirects@1.15.5** → Atualizar para **1.15.6** ou superior.
- **express@4.18.2 e 4.18.3** → Atualizar para **4.18.4** ou superior.
- **serve-static@1.15.0** → Atualizar para **1.15.1** ou superior.
- **send@0.18.0** → Atualizar para **0.18.1** ou superior.
- **ejs@3.1.9** → Atualizar para **3.1.10** ou superior.
- **pug-code-gen@3.0.2 e pug@3.0.2** → Atualizar para **3.0.3** ou superior.
- **tar@6.2.0** → Atualizar para **6.2.1** ou superior.
- **webpack@5.90.3** → Atualizar para **5.90.4** ou superior.

---

## Descrição Geral

Identifiquei vulnerabilidades nas dependências do projeto, através da ferramenta de análise de dependências (Red Hat Dependency Analytics). Este issue visa categorizar as vulnerabilidades por **severidade** (alta e baixa) e propor ações para correção.

### 🔴 Severidade Alta

Essas vulnerabilidades devem ser tratadas com **prioridade máxima**, pois representam um alto risco de exploit no ambiente de produção.

#### [[CVE-2024-39338](https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-39338)] **Axios**

- **Descrição**: Vulnerabilidade de Server-Side Request Forgery (SSRF) no Axios.
- **Dependência**: `axios@1.6.7`
- **Gravidade**: Alta (CVSS 7.5/10)
- **Impacto**: Permite que um invasor faça requisições indesejadas via SSRF.
- **Ação Recomendada**: Atualizar para a versão **1.7.3** ou superior.

#### **swagger-ui-express**

- **Dependência**: `swagger-ui-express@5.0.0`
- **Vulnerabilidades Transitivas**:
    - **path-to-regexp@0.1.7**
        - **CVE**: [CVE-2024-45296](https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-45296)
        - **Descrição**: Vulnerabilidade em `path-to-regexp`, permitindo ataques de manipulação de rota.
        - **Ação Recomendada**: Atualizar `path-to-regexp` para **0.1.10** ou **8.0.0** ou superior.
    - **body-parser@1.20.1**
        - **CVE**: [CVE-2024-45590](https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-45590)
        - **Descrição**: Vulnerabilidade de negação de serviço em `body-parser`.
        - **Ação Recomendada**: Atualizar `body-parser` para **1.20.3** ou superior.

#### **nestjs/typeorm**, **nestjs/core**, **nestjs/swagger**, **nestjs/throttler**, **nestjs/platform-express**

- **Vulnerabilidades Transitivas**:
    - **body-parser@1.20.1 e 1.20.2**
        - **CVE**: [CVE-2024-45590](https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-45590)
        - **Descrição**: Vulnerabilidade de negação de serviço em `body-parser`.
        - **Ação Recomendada**: Atualizar `body-parser` para **1.20.3** ou superior.
    - **path-to-regexp@0.1.7 e 3.2.0**
        - **CVE**: [CVE-2024-45296](https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-45296)
        - **Descrição**: Vulnerabilidade em `path-to-regexp`, afetando o roteamento de requisições.
        - **Ação Recomendada**: Atualizar `path-to-regexp` para **0.1.10** ou **8.0.0** ou superior.

#### **nestjs-modules/mailer**

- **Dependência**: `nestjs-modules/mailer@1.11.2`
- **Vulnerabilidades Transitivas**:
    - **body-parser@1.20.1 e 1.20.2**
        - **CVE**: [CVE-2024-45590](https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-45590)
        - **Descrição**: Vulnerabilidade de negação de serviço em `body-parser`.
        - **Ação Recomendada**: Atualizar `body-parser` para **1.20.3** ou superior.
    - **path-to-regexp@0.1.7 e 3.2.0**
        - **CVE**: [CVE-2024-45296](https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-45296)
        - **Descrição**: Manipulação de rota insegura em `path-to-regexp`.
        - **Ação Recomendada**: Atualizar `path-to-regexp` para **0.1.10** ou **8.0.0** ou superior.
    - **braces@3.0.2**
        - **CVE**: [CVE-2024-4068](https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-4068)
        - **Descrição**: Falha em `braces` que pode ser utilizada para execução arbitrária de código.
        - **Ação Recomendada**: Atualizar `braces` para **3.0.3** ou superior.
    - **html-minifier@4.0.0**
        - **CVE**: [CVE-2022-37620](https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-37620)
        - **Descrição**: Vulnerabilidade em `html-minifier` que pode ser utilizada para ataques de injeção de código.
        - **Ação Recomendada**: Atualizar `html-minifier` para **4.0.1** ou superior.

### 🟡 **Severidade Média**

#### 1. **Axios**

- **Dependência**: `axios@1.6.7`
- **Vulnerabilidade Transitiva**:
    - **follow-redirects@1.15.5**
        - **CVE**: [CVE-2024-28849](https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-28849)
        - **Descrição**: Vulnerabilidade que pode permitir ataques de redirecionamento maliciosos.
        - **Ação Recomendada**: Atualizar `follow-redirects` para **1.15.6** ou superior.

#### 2. **swagger-ui-express**, **nestjs/typeorm**, **nestjs/core**, **nestjs/swagger**, **nestjs/throttler**, **nestjs/platform-express**

- **Vulnerabilidades Transitivas**:
    - **express@4.18.2**
        - **CVE**: [CVE-2024-29041](https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-29041)
        - **CVE**: [CVE-2024-43796](https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-43796)
        - **Descrição**: Vulnerabilidades em `express` que afetam a segurança de rotas e a manipulação de erros.
        - **Ação Recomendada**: Atualizar `express` para **4.18.4** ou superior.
    - **serve-static@1.15.0**
        - **CVE**: [CVE-2024-43800]([https://cve.mitre.org/cgi-bin](https://cve.mitre.org/cgi-bin)

Provide feedback

Saved searches

Use saved searches to filter your results more quickly

Uh oh!

Atualizar dependências com vulnerabilidades #175

Vulnerabilidades de Alta e Média Severidade nas Dependências do Projeto

TL;DR - O que Atualizar

🔴 Severidade Alta

🟡 Severidade Média

Descrição Geral

🔴 Severidade Alta

[CVE-2024-39338] Axios

swagger-ui-express

nestjs/typeorm, nestjs/core, nestjs/swagger, nestjs/throttler, nestjs/platform-express

nestjs-modules/mailer

🟡 Severidade Média

1. Axios

2. swagger-ui-express, nestjs/typeorm, nestjs/core, nestjs/swagger, nestjs/throttler, nestjs/platform-express

Metadata

Assignees

Labels

Type

Projects

Milestone

Relationships

Development

Uh oh!

Atualizar dependências com vulnerabilidades #175

Description

Vulnerabilidades de Alta e Média Severidade nas Dependências do Projeto

TL;DR - O que Atualizar

🔴 Severidade Alta

🟡 Severidade Média

Descrição Geral

🔴 Severidade Alta

[CVE-2024-39338] Axios

swagger-ui-express

nestjs/typeorm, nestjs/core, nestjs/swagger, nestjs/throttler, nestjs/platform-express

nestjs-modules/mailer

🟡 Severidade Média

1. Axios

2. swagger-ui-express, nestjs/typeorm, nestjs/core, nestjs/swagger, nestjs/throttler, nestjs/platform-express

Metadata

Metadata

Assignees

Labels

Type

Projects

Milestone

Relationships

Development

Issue actions