Atualizar dependências com vulnerabilidades

[pvdevs]

Vulnerabilidades de Alta e Média Severidade nas Dependências do Projeto

TL;DR - O que Atualizar

🔴 Severidade Alta

• [email protected] → Atualizar para 1.7.3 ou superior.
• [email protected] e 1.20.2 → Atualizar para 1.20.3 ou superior.
• [email protected] e 3.2.0 → Atualizar para 0.1.10 ou 8.0.0 ou superior.
• [email protected] → Atualizar para 5.3.4 ou superior.
• [email protected] → Atualizar para 3.0.3 ou superior.
• [email protected] → Atualizar para 4.0.1 ou superior.

🟡 Severidade Média

• [email protected] → Atualizar para 1.15.6 ou superior.
• [email protected] e 4.18.3 → Atualizar para 4.18.4 ou superior.
• [email protected] → Atualizar para 1.15.1 ou superior.
• [email protected] → Atualizar para 0.18.1 ou superior.
• [email protected] → Atualizar para 3.1.10 ou superior.
• [email protected] e [email protected] → Atualizar para 3.0.3 ou superior.
• [email protected] → Atualizar para 6.2.1 ou superior.
• [email protected] → Atualizar para 5.90.4 ou superior.

---

Descrição Geral

Identifiquei vulnerabilidades nas dependências do projeto, através da ferramenta de análise de dependências (Red Hat Dependency Analytics). Este issue visa categorizar as vulnerabilidades por severidade (alta e baixa) e propor ações para correção.

🔴 Severidade Alta

Essas vulnerabilidades devem ser tratadas com prioridade máxima, pois representam um alto risco de exploit no ambiente de produção.

[CVE-2024-39338] Axios

• Descrição: Vulnerabilidade de Server-Side Request Forgery (SSRF) no Axios.
• Dependência: [email protected]
• Gravidade: Alta (CVSS 7.5/10)
• Impacto: Permite que um invasor faça requisições indesejadas via SSRF.
• Ação Recomendada: Atualizar para a versão 1.7.3 ou superior.

swagger-ui-express

• Dependência: [email protected]
• Vulnerabilidades Transitivas:
  • [email protected]
    • CVE: CVE-2024-45296
    • Descrição: Vulnerabilidade em path-to-regexp, permitindo ataques de manipulação de rota.
    • Ação Recomendada: Atualizar path-to-regexp para 0.1.10 ou 8.0.0 ou superior.
  • [email protected]
    • CVE: CVE-2024-45590
    • Descrição: Vulnerabilidade de negação de serviço em body-parser.
    • Ação Recomendada: Atualizar body-parser para 1.20.3 ou superior.

nestjs/typeorm, nestjs/core, nestjs/swagger, nestjs/throttler, nestjs/platform-express

• Vulnerabilidades Transitivas:
  • [email protected] e 1.20.2
    • CVE: CVE-2024-45590
    • Descrição: Vulnerabilidade de negação de serviço em body-parser.
    • Ação Recomendada: Atualizar body-parser para 1.20.3 ou superior.
  • [email protected] e 3.2.0
    • CVE: CVE-2024-45296
    • Descrição: Vulnerabilidade em path-to-regexp, afetando o roteamento de requisições.
    • Ação Recomendada: Atualizar path-to-regexp para 0.1.10 ou 8.0.0 ou superior.

nestjs-modules/mailer

• Dependência: nestjs-modules/[email protected]
• Vulnerabilidades Transitivas:
  • [email protected] e 1.20.2
    • CVE: CVE-2024-45590
    • Descrição: Vulnerabilidade de negação de serviço em body-parser.
    • Ação Recomendada: Atualizar body-parser para 1.20.3 ou superior.
  • [email protected] e 3.2.0
    • CVE: CVE-2024-45296
    • Descrição: Manipulação de rota insegura em path-to-regexp.
    • Ação Recomendada: Atualizar path-to-regexp para 0.1.10 ou 8.0.0 ou superior.
  • [email protected]
    • CVE: CVE-2024-4068
    • Descrição: Falha em braces que pode ser utilizada para execução arbitrária de código.
    • Ação Recomendada: Atualizar braces para 3.0.3 ou superior.
  • [email protected]
    • CVE: CVE-2022-37620
    • Descrição: Vulnerabilidade em html-minifier que pode ser utilizada para ataques de injeção de código.
    • Ação Recomendada: Atualizar html-minifier para 4.0.1 ou superior.

🟡 Severidade Média

1. Axios

• Dependência: [email protected]
• Vulnerabilidade Transitiva:
  • [email protected]
    • CVE: CVE-2024-28849
    • Descrição: Vulnerabilidade que pode permitir ataques de redirecionamento maliciosos.
    • Ação Recomendada: Atualizar follow-redirects para 1.15.6 ou superior.

2. swagger-ui-express, nestjs/typeorm, nestjs/core, nestjs/swagger, nestjs/throttler, nestjs/platform-express

• Vulnerabilidades Transitivas:
  • [email protected]
    • CVE: CVE-2024-29041
    • CVE: CVE-2024-43796
    • Descrição: Vulnerabilidades em express que afetam a segurança de rotas e a manipulação de erros.
    • Ação Recomendada: Atualizar express para 4.18.4 ou superior.
  • [email protected]
    • CVE: [CVE-2024-43800](https://cve.mitre.org/cgi-bin