https://iasquad.ai/pt/ O que mudou, quem afeta e o que fazer hoje. pt-BR https://iasquad.ai/pt/js/eslint/eslint-10-5-0-nova-versao-disponivel/ https://iasquad.ai/pt/js/eslint/eslint-10-5-0-nova-versao-disponivel/ js Sat, 13 Jun 2026 09:04:29 GMT Lançamento do ESLint versão 10.5.0, um verificador de padrões baseado em AST para JavaScript. https://iasquad.ai/pt/js/tailwindcss/tailwindcss-431-correcoes/ https://iasquad.ai/pt/js/tailwindcss/tailwindcss-431-correcoes/ js Sat, 13 Jun 2026 09:04:22 GMT Lançamento da versão 4.3.1 do tailwindcss, framework CSS utility-first. https://iasquad.ai/pt/js/langchain-langgraph-checkpoint-mongodb/langgraph-checkpoint-mongodb-correcao-injecao-nosql/ https://iasquad.ai/pt/js/langchain-langgraph-checkpoint-mongodb/langgraph-checkpoint-mongodb-correcao-injecao-nosql/ js Sat, 13 Jun 2026 09:04:07 GMT Corrigida vulnerabilidade de injeção NoSQL no MongoDBSaver. https://iasquad.ai/pt/js/budibase/budibase-executequery-ssrf/ https://iasquad.ai/pt/js/budibase/budibase-executequery-ssrf/ js Sat, 13 Jun 2026 09:03:58 GMT O passo de automação executeQuery no Budibase aceita um queryId das entradas do passo de automação e o passa diretamente para o controlador de execução de consu https://iasquad.ai/pt/js/budibase-backend-core/budibase-backend-core-csrf-bypass-query-string-injection/ https://iasquad.ai/pt/js/budibase-backend-core/budibase-backend-core-csrf-bypass-query-string-injection/ js Sat, 13 Jun 2026 09:03:49 GMT As funções buildMatcherRegex() e matches() compilam padrões de rota em expressões regulares não ancoradas e testam contra ctx. https://iasquad.ai/pt/python/pypdf/pypdf-vulnerabilidade-consumo-memoria-modo-layout/ https://iasquad.ai/pt/python/pypdf/pypdf-vulnerabilidade-consumo-memoria-modo-layout/ python Sat, 13 Jun 2026 09:03:32 GMT Uma vulnerabilidade no pypdf permite que um atacante crie um PDF que cause alto consumo de memória ao extrair texto em modo layout com grandes deslocamentos de caracteres. https://iasquad.ai/pt/python/pypdf/pypdf-vulnerabilidade-negacao-servico-cross-reference-streams/ https://iasquad.ai/pt/python/pypdf/pypdf-vulnerabilidade-negacao-servico-cross-reference-streams/ python Sat, 13 Jun 2026 09:03:24 GMT Uma vulnerabilidade de segurança no pypdf permite que PDFs manipulados com streams de referência cruzada usando /W [0 0 0] e valores grandes de /Size causem tem https://iasquad.ai/pt/python/tornado/tornado-vazamento-de-memoria-em-websocket-mask/ https://iasquad.ai/pt/python/tornado/tornado-vazamento-de-memoria-em-websocket-mask/ python Sat, 13 Jun 2026 09:03:15 GMT A extensão nativa opcional `tornado. https://iasquad.ai/pt/php/typo3-html-sanitizer/typo3-html-sanitizer-falha-tags-fechamento-espaco/ https://iasquad.ai/pt/php/typo3-html-sanitizer/typo3-html-sanitizer-falha-tags-fechamento-espaco/ php Sat, 13 Jun 2026 09:03:07 GMT Quando ALLOW_INSECURE_RAW_TEXT está ativado, tags de fechamento com variações de espaço em branco (ex. https://iasquad.ai/pt/php/typo3-cms-core/cross-site-scripting-no-indexed-search/ https://iasquad.ai/pt/php/typo3-cms-core/cross-site-scripting-no-indexed-search/ php Sat, 13 Jun 2026 09:02:59 GMT Vulnerabilidade de Cross-Site Scripting no plugin Indexed Search: títulos de página com marcação HTML são armazenados no índice de busca sem sanitização e rende https://iasquad.ai/pt/php/typo3-cms-core/typo3-cms-core-falha-permissao-leitura-area-transferencia/ https://iasquad.ai/pt/php/typo3-cms-core/typo3-cms-core-falha-permissao-leitura-area-transferencia/ php Sat, 13 Jun 2026 09:02:51 GMT Usuários do backend podiam inserir registros e arquivos arbitrários na área de transferência do TYPO3 sem as devidas verificações de permissão de leitura, permi https://iasquad.ai/pt/php/typo3-cms-core/typo3-cms-core-permissao-api-backend/ https://iasquad.ai/pt/php/typo3-cms-core/typo3-cms-core-permissao-api-backend/ php Sat, 13 Jun 2026 09:02:44 GMT Usuários autenticados do Backend podiam recuperar metadados de arquivos via rotas da API do Backend sem as devidas verificações de permissão, permitindo acesso https://iasquad.ai/pt/php/typo3-cms-core/typo3-cms-core-bypass-verificacao-caminho-generalutility-isallowedabspath/ https://iasquad.ai/pt/php/typo3-cms-core/typo3-cms-core-bypass-verificacao-caminho-generalutility-isallowedabspath/ php Sat, 13 Jun 2026 09:02:36 GMT A verificação de caminho em GeneralUtility::isAllowedAbsPath() usava comparação de prefixo de string sem exigir um separador de diretório, permitindo que um caminho como /var/www/html-other/secret. https://iasquad.ai/pt/php/typo3-cms-core/typo3-cache-registry-desserializacao-segura/ https://iasquad.ai/pt/php/typo3-cms-core/typo3-cache-registry-desserializacao-segura/ php Sat, 13 Jun 2026 09:02:28 GMT O cache frontend (VariableFrontend) e o armazenamento persistente chave-valor (Registry) agora desserializam payloads PHP com validação de integridade e restriç https://iasquad.ai/pt/php/typo3-cms-core/typo3-cms-core-move-records-sem-permissao-de/ https://iasquad.ai/pt/php/typo3-cms-core/typo3-cms-core-move-records-sem-permissao-de/ php Sat, 13 Jun 2026 09:02:19 GMT Backend users could move records to a different page without edit permissions on the source page. https://iasquad.ai/pt/php/typo3-html-sanitizer/typo3-html-sanitizer-bypass-xss-codificacao-atributos-namespace/ https://iasquad.ai/pt/php/typo3-html-sanitizer/typo3-html-sanitizer-bypass-xss-codificacao-atributos-namespace/ php Sat, 13 Jun 2026 09:02:12 GMT Atributos de namespace não são codificados corretamente durante a serialização HTML, permitindo bypass do mecanismo de prevenção de cross-site scripting no typo3/html-sanitizer anterior à versão 2. https://iasquad.ai/pt/php/typo3-cms-core/typo3-cms-core-open-redirect-sanitizelocalurl/ https://iasquad.ai/pt/php/typo3-cms-core/typo3-cms-core-open-redirect-sanitizelocalurl/ php Sat, 13 Jun 2026 09:02:04 GMT Aplicações que usam GeneralUtility::sanitizeLocalUrl estão vulneráveis a ataques de redirecionamento aberto se a URL for usada após a sanitização. https://iasquad.ai/pt/php/typo3-cms-core/typo3-cms-core-restricao-restauracao-recycler/ https://iasquad.ai/pt/php/typo3-cms-core/typo3-cms-core-restricao-restauracao-recycler/ php Sat, 13 Jun 2026 09:01:57 GMT Usuários do backend com acesso ao módulo Recycler podiam restaurar registros soft-deleted em páginas ou tabelas não autorizadas. https://iasquad.ai/pt/js/esbuild/esbuild-path-traversal-windows/ https://iasquad.ai/pt/js/esbuild/esbuild-path-traversal-windows/ js Sat, 13 Jun 2026 09:01:49 GMT O servidor de desenvolvimento do esbuild no Windows possui uma vulnerabilidade de path traversal devido ao uso de path. https://iasquad.ai/pt/js/fabric/fabric-xss-gradient-colorstops-tosvg/ https://iasquad.ai/pt/js/fabric/fabric-xss-gradient-colorstops-tosvg/ js Sat, 13 Jun 2026 09:01:41 GMT Uma vulnerabilidade de Cross-Site Scripting (XSS) foi descoberta no Fabric. https://iasquad.ai/pt/js/budibase-server/bypass-autorizacao-schema-webhook/ https://iasquad.ai/pt/js/budibase-server/bypass-autorizacao-schema-webhook/ js Sat, 13 Jun 2026 09:01:15 GMT O endpoint POST /api/webhooks/schema/:instance/:id está incorretamente ignorado pelo middleware de autorização, permitindo que usuários não autenticados atualiz https://iasquad.ai/pt/php/typo3-cms-core/typo3-cms-core-vulnerabilidade-download-armazenamento-fallback/ https://iasquad.ai/pt/php/typo3-cms-core/typo3-cms-core-vulnerabilidade-download-armazenamento-fallback/ php Sat, 13 Jun 2026 09:00:55 GMT Usuários do backend com permissões de download de arquivos podiam baixar arquivos do armazenamento fallback da camada de abstração de arquivos (FAL) via Media M https://iasquad.ai/pt/php/typo3-cms-core/typo3-cms-core-bypass-de-upload-de-definicoes/ https://iasquad.ai/pt/php/typo3-cms-core/typo3-cms-core-bypass-de-upload-de-definicoes/ php Sat, 13 Jun 2026 09:00:47 GMT Usuários do backend com permissões de escrita podem enviar arquivos de definição de formulário com extensões de case misto (ex. https://iasquad.ai/pt/php/typo3-cms-core/typo3-cms-core-bypass-validacao-form-framework/ https://iasquad.ai/pt/php/typo3-cms-core/typo3-cms-core-bypass-validacao-form-framework/ php Sat, 13 Jun 2026 09:00:40 GMT Usuários do backend com acesso de escrita à tabela form_definition podem contornar a validação de persistência e as verificações de permissão do Form Framework https://iasquad.ai/pt/php/typo3-cms-core/typo3-cms-core-vulnerabilidade-form-framework-execucao-sql/ https://iasquad.ai/pt/php/typo3-cms-core/typo3-cms-core-vulnerabilidade-form-framework-execucao-sql/ php Sat, 13 Jun 2026 09:00:26 GMT Usuários do backend com acesso ao Form Framework podiam usar arquivos que não terminam em . https://iasquad.ai/pt/js/esbuild/esbuild-denom-modulo-sem-verificacao-integridade/ https://iasquad.ai/pt/js/esbuild/esbuild-denom-modulo-sem-verificacao-integridade/ js Sat, 13 Jun 2026 09:00:17 GMT O módulo Deno do esbuild (lib/deno/mod. https://iasquad.ai/pt/php/laravel-news/laracon-us-2026-palestrantes-anunciados/ https://iasquad.ai/pt/php/laravel-news/laracon-us-2026-palestrantes-anunciados/ php Fri, 12 Jun 2026 09:03:01 GMT Laracon US 2026 anunciou sua programação completa de palestrantes para 28-29 de julho em Boston, incluindo Taylor Otwell, Aaron Francis, Nuno Maduro e Kent C. https://iasquad.ai/pt/php/guzzlehttp-psr7/guzzlehttp-psr7-crlf-injection-host-header/ https://iasquad.ai/pt/php/guzzlehttp-psr7/guzzlehttp-psr7-crlf-injection-host-header/ php Fri, 12 Jun 2026 09:02:53 GMT guzzlehttp/psr7 did not reject ASCII control characters, whitespace, or DEL in first-party URI host components, allowing CRLF injection into serialized Host hea https://iasquad.ai/pt/php/guzzlehttp-guzzle-services/serializacao-insegura-xml-cdata/ https://iasquad.ai/pt/php/guzzlehttp-guzzle-services/serializacao-insegura-xml-cdata/ php Fri, 12 Jun 2026 09:02:33 GMT guzzlehttp/guzzle-services não serializa com segurança valores escalares de elementos XML que contenham o terminador CDATA `]]>`, permitindo que entrada control https://iasquad.ai/pt/js/hapi-wreck/hapi-wreck-comparacao-origem-completa-redirecionamentos/ https://iasquad.ai/pt/js/hapi-wreck/hapi-wreck-comparacao-origem-completa-redirecionamentos/ js Fri, 12 Jun 2026 09:02:23 GMT Wreck agora usa comparação completa de origem (esquema, host, porta) em vez de apenas hostname ao decidir se deve remover cabeçalhos de credenciais antes de seg