Arquivo 2026
Polly 8.7.0 lançado
Lançamento da versão 8.7.0 da Polly, biblioteca .NET para resiliência e tratamento de falhas transitórias.
.NET Blog: Anúncio do .NET Day of Agentic Modernization Livestream
Anunciado o evento .NET Day of Agentic Modernization Livestream.
Vue 3.5.36: Nova versão do framework progressivo JavaScript
Vue 3.5.36 é uma nova versão do framework progressivo JavaScript para construção de interfaces web modernas.
vue 3.5.37: Lançamento de versão patch
Lançamento do Vue 3.5.37, uma versão patch do framework JavaScript progressivo para construção de UI web moderna.
vue 3.5.38 lançado
Lançamento da versão 3.5.38 do Vue, framework JavaScript progressivo para construção de interfaces web modernas.
vLLM: Revisão de artefatos não é aplicada consistentemente
O pinning de revisão no vLLM não se aplica consistentemente a todos os artefatos carregados para um modelo.
PDM: escrita de arquivos de configuração sem proteção contra symlinks
PDM escreve arquivos de estado/configuração locais do projeto (pdm.
@hulumi/policies: correção de detecção de múltiplos provedores federados em políticas de confiança IAM
Políticas de confiança IAM da AWS com múltiplos provedores de identidade federados (ex.
@hulumi/policies <1.4.0: vulnerabilidade de bypass em verificação de URN
Uma vulnerabilidade de segurança em @hulumi/policies <1.
@hulumi/policies: correção na validação da política HULUMI-H5
A política HULUMI-H5 em @hulumi/policies <1.
@hulumi/baseline: Vulnerabilidades de imutabilidade no S3 de auditoria corrigidas
O bucket S3 criado pelo AccountFoundation para logs de auditoria do CloudTrail e AWS Config tinha três vulnerabilidades: (1) Objec
@hulumi/drift: bugs no classificador mascaram ataques e dispararam falsos positivos
Dois bugs no classificador do @hulumi/drift: (1) falhas de adaptador eram cacheadas como 'tudo limpo' (None/none) por 6 horas, mas
Litestar: CSRF cookie não escapado permite XSS em templates com CSRF
Instâncias do Litestar que usam templates com proteção CSRF são vulneráveis a injeção de HTML levando a XSS, pois o conteúdo do co
Baileys: Vulnerabilidade de segurança em placeholderResendMessage permite falsificação de mensagens
Uma vulnerabilidade de segurança no baileys permite que payloads maliciosos via placeholderResendMessage falsifiquem mensagens, co
pdm: Path traversal em InstallDestination.write_to_fs() permite escrita arbitrária de arquivos
InstallDestination.write_to_fs() em src/pdm/installers/installers.py substitui o método da classe base para adicionar suporte a sy
.NET 11 Preview 5 lançado com novos recursos
.NET 11 Preview 5 foi lançado com novos recursos no runtime, SDK, bibliotecas, ASP.NET Core, .NET MAUI, C#, Entity Framework Core
dotnet/runtime v8.0.28: correções e atualizações de dependências
A versão v8.0.28 do dotnet/runtime inclui múltiplas correções e atualizações de dependências: servidor WebSocket agora nega recebi
dotnet/efcore v9.0.17: atualizações de dependências e branding
Release v9.0.17 do dotnet/efcore, incluindo atualizações de dependências, atualizações de branding e commits internos mesclados do
dotnet/runtime v9.0.17: correções e atualizações de dependências
A versão 9.0.17 do dotnet/runtime inclui múltiplas correções e atualizações de dependências: servidor WebSocket agora nega recebim
dotnet/efcore v10.0.9: correções de bugs em filtros de consulta e discriminadores de propriedade complexa anulável
Patch release v10.0.9 do EF Core com duas correções de bugs: nomes de parâmetros de filtro de consulta com parâmetros de construto
dotnet/runtime v10.0.9: correções de bugs e otimizações
A versão v10.0.9 do dotnet/runtime inclui múltiplas correções de bugs e otimizações: correções para docker compose, vinculação do
symfony/runtime: correção incompleta do CVE-2024-50340 permite manipulação de argv via query string
A correção original do CVE-2024-50340 no symfony/runtime era incompleta.
pheditor: Vulnerabilidade de Injeção de Comando no Terminal
Uma vulnerabilidade de Injeção de Comando no SO foi descoberta no manipulador de terminal do pheditor.
.NET MAUI Android agora com suporte a Material 3
Suporte a Material 3 (Material You) adicionado para apps .
.NET Blog: Dicas para usar GitHub Copilot como desenvolvedor .NET
Publicado um post no blog com dicas para desenvolvedores .
laravel/framework v13.12.0 lançado
Versão 13.12.0 do pacote laravel/framework publicada no Packagist.
laravel/framework v12.61.0 lançado
Lançamento da versão 12.61.0 do pacote laravel/framework no Packagist.
Vue 3.5.35: Lançamento de versão patch
Lançamento do Vue 3.5.35, versão patch do framework JavaScript progressivo.
guzzlehttp/guzzle 7.10.5 lançado
Lançamento da versão 7.10.5 para guzzlehttp/guzzle.
symfony/http-foundation v8.1.0 lançado
Versão v8.1.0 de symfony/http-foundation foi lançada, fornecendo uma camada orientada a objetos para a especificação HTTP.
symfony/console v8.1.0: nova versão disponível
Nova versão do symfony/console v8.
eslint 10.4.1: release de patch
Lançamento do ESLint versão 10.4.1, um verificador de padrões baseado em AST para JavaScript.
Vite 8.0.15 lançado
Versão 8.0.15 do Vite, ferramenta de build para desenvolvimento web baseada em ESM nativo, foi lançada.
vite 8.0.16: nova versão disponível
Versão 8.0.16 do Vite, ferramenta de build para web baseada em ESM nativo, foi lançada.
Vite 6.4.3 lançado
Vite 6.4.3 é uma versão da ferramenta de build web baseada em Native-ESM.
guzzlehttp/guzzle 7.10.6 lançado
Versão 7.10.6 do guzzlehttp/guzzle foi lançada.
Node.js Blog: Node.js v26.3.0 lançado
Node.js v26.3.0 foi lançado com atualizações incluindo mudanças notáveis, commits e lista de contribuidores.
React 19.0.7: patch release
React 19.0.7 é uma versão de patch da biblioteca React para construção de interfaces de usuário.
react 19.1.8: patch release
React 19.1.8 é uma versão de patch da biblioteca React para construção de interfaces de usuário.
guzzlehttp/guzzle 7.11.0: nova versão disponível
Lançamento da versão 7.11.0 do guzzlehttp/guzzle.
django 6.0.6: nova versão disponível
Django 6.0.6 é um novo lançamento do framework web Python de alto nível.
dotnet/aspire v13.4.1: correções de bugs no ciclo de vida, Redis, endpoints e template
Patch v13.4.1 corrige quatro bugs: callbacks de ciclo de vida de recurso com início explícito disparados muito cedo; deadlock no c
dotnet/aspire v13.4.2: correção de deadlock no Redis com TLS e contêiner persistente
Patch 13.4.2 corrige um deadlock em contêineres Redis persistentes com TLS, causado pelo uso de portas de host públicas em vez de
laravel/framework v12.61.1 lançado
Versão 12.61.1 do pacote laravel/framework publicada no Packagist.
laravel/framework v13.14.0 lançado
Lançamento da versão 13.14.0 do pacote laravel/framework no Packagist.
phpunit/phpunit 13.2.0 lançado
Lançamento da versão 13.2.0 do PHPUnit, framework de teste unitário para PHP.
.NET Blog: Microsoft Build 2026 – Resumo das Sessões .NET
Microsoft Build 2026 incluiu sessões sobre .
dotnet/aspire v13.4.3: Correção de regressão na alocação de endpoints de contêiner persistente
Patch release corrigindo regressão na alocação de endpoints de contêiner persistente: contêineres persistentes agora usam comporta
Laravel 13.14: JsonSchema::fromArray() e correções em filas, jobs, HTTP e mail
Adicionado JsonSchema::fromArray() para converter arrays de JSON Schema de volta em objetos Type.
Nerdbank.MessagePack: Alocação excessiva de memória na desserialização de coleções
Os desserializadores do Nerdbank.
Nerdbank.MessagePack: Vulnerabilidade de Negação de Serviço no WithExpandoObjectConverter
Um advisory de segurança foi publicado para Nerdbank.
docling: correções de segurança no backend METS-GBS
Corrigidas vulnerabilidades de XXE, bomba de descompressão e extração ilimitada de arquivos no backend METS-GBS.
docling: correção de segurança em validação de caminhos no backend LaTeX
O backend LaTeX não validava caminhos em comandos \includegraphics, \input e \include, permitindo path traversal.
aiohttp: cookies enviados após redirecionamento entre origens
Cookies definidos com o parâmetro `cookies` em requisições são enviados após seguir um redirecionamento entre origens, potencialme
Starlette: validação do cabeçalho Host conforme RFC 9112/3986
O cabeçalho HTTP Host agora é validado contra a gramática das RFCs 9112 §3.
WebOb 1.8.10 corrige bypass de segurança na normalização do cabeçalho Location
WebOb 1.8.10 corrige um bypass de segurança na normalização do cabeçalho Location, onde caracteres ASCII como tabulação, retorno d
strawberry-graphql: QueryDepthLimiter vulnerável a DoS por recursão infinita em fragmentos circulares
A extensão QueryDepthLimiter não possui detecção de ciclos em fragmentos.
strawberry-graphql: MaxAliasesLimiter não contabiliza FragmentSpreadNode
A extensão MaxAliasesLimiter no Strawberry GraphQL não considera o efeito multiplicativo de FragmentSpreadNode, permitindo que ata
kas: vulnerabilidade de segurança permite substituição de repositório
Uma vulnerabilidade de segurança no kas permite que um invasor substitua um repositório por um malicioso sob condições específicas
shopware/platform: Escalação de privilégio via Sync API com privilégio integration:create
Um usuário não administrador da API com privilégio ACL integration:create pode escalar para administrador completo criando uma int
shopware/platform: user_recovery hash exposto via API de busca
O campo `hash` da entidade `user_recovery` é exposto pelo endpoint de busca da Admin API (`POST /api/search/user-recovery`), permi
shopware/platform: Escalação de privilégio via UserController::upsertUser()
UserController::upsertUser() grava dados de usuário em SYSTEM_SCOPE e não filtra o campo admin, permitindo que usuários da API com
shopware/platform: Vulnerabilidade de timing attack no repositório OAuth permite enumeração de administradores
Uma vulnerabilidade de timing attack foi descoberta no repositório de usuários OAuth que permite enumeração de nomes de usuário ad
shopware/platform: Admin API order state transition endpoints sem verificação ACL
Endpoints de transição de estado de pedido na Admin API estão sem verificação de privilégios ACL, permitindo que usuários com priv
shopware/platform: Falta de autorização no endpoint /store-api/handle-payment
O endpoint /store-api/handle-payment não possui autorização a nível de objeto, permitindo que um usuário com privilégios baixos ac
shopware/core: SVG não sanitizado permite XSS no gerenciador de mídia
Arquivos SVG são permitidos na lista de upload do gerenciador de mídia, mas não são sanitizados, possibilitando XSS armazenado via
shopware/core: endpoint /api/_action/media/external-link permite SSRF sem validação de IP
O endpoint `/api/_action/media/external-link` no core do Shopware permite que usuários admin autenticados façam requisições HTTP H
NocoDB: Shared-view relation endpoints now enforce column visibility
Public shared-view relation endpoints (`publicMmList`, `publicHmList`, `relDataList`) now verify that the requested column's `show
NocoDB: Vulnerabilidade XSS refletido na página de redefinição de senha
A página de redefinição de senha do NocoDB tinha uma vulnerabilidade XSS refletido onde o token da URL era embutido diretamente em
NocoDB: Plugin hashRedirect rejeita URLs relativas a protocolo para evitar redirecionamento aberto
O plugin hashRedirect no lado do cliente agora rejeita URLs relativas a protocolo (iniciadas com //) para prevenir ataques de redi
NocoDB: Correção de vulnerabilidade de timing side-channel na verificação de senha de visualização compartilhada
A verificação de senha de visualização compartilhada em View.
NocoDB: Correção de vazamento de tempo na autenticação
O branch unknown-user em auth.service.ts agora executa bcrypt.compare contra um hash fixo para igualar os tempos de resposta de lo
nocodb: Escopo de permissão do endpoint testConnection corrigido
O endpoint `testConnection` agora verifica permissões no workspace da integração, rejeitando requisições com workspace diferente.
nocodb: Adicionada validação de host em validateDbConnectionHost para prevenir SSRF
Adicionado helper `validateDbConnectionHost` que resolve hostnames, analisa endereços com ipaddr.
NocoDB: Injeção SQL no endpoint bulk groupBy via título de coluna
Um usuário autenticado com permissão para criar colunas pode injetar SQL no endpoint bulk groupBy definindo o título de uma coluna
nocodb: Correção de condição de corrida no fluxo OAuth com PKCE
Corrigida uma condição de corrida na troca de tokens OAuth onde duas requisições concorrentes usando o mesmo código de autorização
NocoDB: MCP readAttachment agora verifica propriedade do arquivo
A ferramenta MCP readAttachment agora verifica a propriedade do arquivo consultando o caminho em nc_file_references e checando se
NocoDB: OAuth tokens revogados após alteração de senha
A função revokeAllOAuthTokensByUser agora revoga tokens de acesso e refresh OAuth quando um usuário altera, redefine ou recupera s
vantage6: Algoritmos maliciosos podem acessar arquivos de outros algoritmos
Um aviso de segurança foi publicado para o vantage6 indicando que algoritmos maliciosos podem potencialmente acessar arquivos de e
shopper/framework: Permissões ausentes em ações inline de tabelas administrativas
Tabelas administrativas de PaymentMethods, Currencies e Carriers expunham toggles e ações por registro sem verificação de permissã
Bugsink: autorização de eventos agora exige vínculo com issue e projeto
Páginas de evento de issue no Bugsink não aceitam mais um identificador de evento direto da URL sem que ele pertença à issue na UR
bugsink: Correção de autorização em ações em lote na lista de issues
Corrigido um problema de autorização entre projetos onde ações em lote na lista de issues podiam modificar issues de outros projet
Bugsink: vazamento de metadados entre projetos via debug IDs (CVE-2024-XXXX)
Antes do 2.2.0, a resolução de sourcemaps e arquivos de debug por debug ID não era escopada ao projeto proprietário do metadado. U
Bugsink: Vulnerabilidade de negação de serviço por excesso de tags em eventos (atualize para 2.2.2)
Versões do Bugsink anteriores a 2.
twig/twig: HtmlDumper agora escapa nomes de template e perfil contra XSS
Twig\Profiler\Dumper\HtmlDumper agora escapa nomes de template e perfil com htmlspecialchars() antes de exibi-los em HTML.
GeoNode 4.4.5 e 5.0.2: Vulnerabilidade de SSRF no registro de serviço
GeoNode versões 4.4.5 e 5.0.2 (e anteriores dentro de seus respectivos lançamentos) contêm uma vulnerabilidade de server-side requ
Actual macOS 25.x: ELECTRON_RUN_AS_NODE fuse permite execução arbitrária de código
A vulnerabilidade foi identificada no aplicativo Actual macOS versão 25.
Poweradmin v4.4.0 Vulnerável a Injeção de CSV e Exposição de Caminhos
A funcionalidade de exportação de logs do Poweradmin v4.
dulwich: Sanitização de assunto de commit em format_patch para evitar path traversal
dulwich.porcelain.format_patch e a CLI format-patch agora sanitizam assuntos de commit para evitar path traversal e injeção de nom
fuxa-server: Vulnerabilidade de injeção SQL no conector TDengine
A função escapeTdString do conector de armazenamento DAQ TDengine duplica aspas simples, mas não escapa barras invertidas, permiti
fuxa-server: Correção de permissão na API Scheduler (versão 1.3.2)
A API Scheduler não impunha permissões de administrador, permitindo que usuários não administradores criassem ou modificassem açõe
Dulwich: vulnerabilidade de exaustão de memória em add_thin_pack / apply_delta
Uma vulnerabilidade de exaustão de memória (CWE-400/CWE-789) em add_thin_pack / apply_delta permite que um cliente com acesso de p
Rust 1.96.0: Novos tipos Range*, assert_matches!, mudanças em WebAssembly e correções de segurança
Rust 1.96.0 foi lançado com novos tipos Range*, macros assert_matches!, alterações nos alvos WebAssembly (não passa mais --allow-u
froxlor: Injeção de registros DNS via DomainZones.add
O endpoint DomainZones.add não sanitiza caracteres de nova linha no conteúdo de registros TXT, permitindo injeção de diretivas BIN
docling: Vulnerabilidade XXE em parsers XML de patentes USPTO corrigida na v2.74.0
Parsers XML de patentes USPTO (ICE v4.
docling: correções de segurança no backend HTML
Correções de segurança no backend HTML do docling: corrigidas múltiplas vulnerabilidades, incluindo acesso a arquivos locais via U
docling-core: vulnerabilidade de acesso a arquivos locais e consumo excessivo de memória
Nas versões >=2.5.0, <2.74.1, o docling-core permitia referências a imagens locais (file://) e conteúdo inline data: sem limite de
Jupyter Enterprise Gateway: bypass da proteção de UID/GID via espaços em branco
Uma vulnerabilidade de segurança foi publicada para o Jupyter Enterprise Gateway.
Jupyter Enterprise Gateway: SSTI via KERNEL_XXX env vars em Kubernetes
Variáveis de ambiente (KERNEL_XXX) usadas na renderização de manifestos Kubernetes são vulneráveis a Server Side Template Injectio
Jupyter Enterprise Gateway Vulnerável a Injeção YAML via Variáveis de Ambiente
Jupyter Enterprise Gateway é vulnerável a injeção YAML via variáveis de ambiente não confiáveis (ex.
AVideo: AuthorizeNet processPayment sem validação permite crédito arbitrário na carteira
O endpoint `plugin/AuthorizeNet/processPayment.
wwbn/avideo: Stored XSS no sistema de mensagens WebSocket do SQLite
Vulnerabilidade de XSS armazenado no sistema de mensagens WebSocket do AVideo: o handler MessageSQLite.
AVideo YPTSocket plugin: XSS via page_title
Vulnerabilidade de XSS armazenado não autenticado via parâmetro `page_title` no plugin YPTSocket.
stata-mcp: vulnerabilidade de injeção de comando no parâmetro log_file_name
O parâmetro `log_file_name` nas APIs e CLI `stata_do` é interpolado diretamente em um comando Stata sem sanitização, permitindo in
NocoDB: Stored XSS via row comments (HTML sem sanitização e Tippy allowHTML)
Vulnerabilidade de XSS armazenado em comentários de linha: HTML armazenado sem sanitização no servidor, e tooltip Tippy com allowH
NocoDB: Vulnerabilidade de XSS em redirect_url de formulários compartilhados
O manipulador de submissão de formulário compartilhado em NocoDB escreve o `redirect_url` do formulário em `window.
DbGate-serve: RCE via injeção de código no endpoint /runners/start
O endpoint POST /runners/start do DbGate permite execução remota de código via injeção no parâmetro functionName de comandos assig
praisonai-platform: Falta de escopo de workspace nos endpoints CRUD de Agent
Os endpoints CRUD de Agent (GET/PATCH/DELETE /workspaces/{workspace_id}/agents/{agent_id}) não aplicam escopo de workspace na busc
dbgate-api: Injeção de código arbitrário no endpoint POST /runners/load-reader
O endpoint POST /runners/load-reader em DbGate interpola diretamente o parâmetro functionName em um template de código JavaScript
AIT-Core BSC: Path Traversal e Escrita Arbitrária de Arquivos
O componente Binary Stream Capture (BSC) do AIT-Core antes das versões 3.
TinyMCE 6.8.x-7.0.x: XSS via SVG namespace bypass
TinyMCE 6.8.x-7.0.x contém uma vulnerabilidade XSS devido ao tratamento inadequado do escopo do namespace SVG no sanitizador, perm
TinyMCE 6.8.x-7.0.x: XSS via SVG namespace handling
TinyMCE 6.8.x-7.0.x contém uma vulnerabilidade XSS devido ao tratamento inadequado do escopo do namespace SVG no sanitizador, perm
TinyMCE 6.8.x-7.0.x: XSS via SVG namespace bypass
TinyMCE 6.8.x through 7.0.x has an XSS vulnerability caused by improper SVG namespace scope handling in the sanitizer. Crafted nes
TinyMCE: Stored XSS via dados não sanitizados em atributos data-mce-*
Vulnerabilidade de XSS armazenado via atributos data-mce-* (data-mce-href, data-mce-src, data-mce-style) não sanitizados.
TinyMCE: Stored XSS via data-mce-* attributes
Stored XSS vulnerability via unsanitized data-mce-* attributes (data-mce-href, data-mce-src, data-mce-style).
TinyMCE: Stored XSS via mce:protected comments
Stored XSS vulnerability via forged mce:protected comments allows attackers to bypass sanitization and inject scripts when content
TinyMCE: Vulnerabilidade de XSS Armazenado via Comentários mce:protected Forjados
Uma vulnerabilidade de XSS armazenado foi descoberta em comentários mce:protected forjados, permitindo que invasores contornem a s
tinymce: vulnerabilidade de XSS armazenado via comentários mce:protected forjados
Vulnerabilidade de XSS armazenado via comentários mce:protected forjados permite que atacantes contornem a sanitização e injetem s
TinyMCE: Vulnerabilidade de XSS Armazenado no Plugin de Mídia
Vulnerabilidade de XSS armazenado no plugin de mídia permite que atacantes injetem scripts maliciosos através de atributos data-mc
TinyMCE: Vulnerabilidade XSS Armazenado no Plugin de Mídia
Vulnerabilidade de XSS armazenado no plugin de mídia permite que atacantes injetem scripts maliciosos via atributos data-mce-* man
TinyMCE: Vulnerabilidade XSS Armazenado no Plugin de Mídia
Vulnerabilidade de XSS armazenado no plugin de mídia permite que atacantes injetem scripts maliciosos através de atributos data-mc
shopper/framework: vulnerabilidades críticas de segurança em componentes Livewire
Três defeitos de segurança em componentes Livewire do admin: IDOR via propriedades destravadas, exposição de dados sensíveis atrav
shopper/framework: correção de autorização em configurações de equipe
Duas falhas de autorização em configurações de equipe permitiam que qualquer usuário autenticado do painel assumisse o sistema RBA
twig/twig: correção de segurança na verificação de sandbox para callbacks em filtros
A restrição de sandbox para filtros que aceitam callbacks (sort, filter, map, reduce) nem sempre é aplicada ao usar uma SourcePoli
twig/twig: Bypass de segurança no sandbox via __toString()
O SandboxNodeVisitor envolvia apenas uma lista fixa de nós AST em CheckToStringNode, deixando várias construções que acionam __toS
fuxa-server: vulnerabilidade de SSRF não autenticada em handlers Socket.IO
Dois handlers de eventos Socket.