js
Boletins de js.
ESLint 10.5.0: Nova versão disponível
Lançamento do ESLint versão 10.5.0, um verificador de padrões baseado em AST para JavaScript.
tailwindcss 4.3.1: correções e atualizações
Lançamento da versão 4.3.1 do tailwindcss, framework CSS utility-first.
@langchain/langgraph-checkpoint-mongodb: correção de vulnerabilidade de injeção NoSQL
Corrigida vulnerabilidade de injeção NoSQL no MongoDBSaver.
Budibase: executeQuery automation step permite SSRF via queryId não validado
O passo de automação executeQuery no Budibase aceita um queryId das entradas do passo de automação e o passa diretamente para o co
@budibase/backend-core: CSRF bypass via query string injection
As funções buildMatcherRegex() e matches() compilam padrões de rota em expressões regulares não ancoradas e testam contra ctx.
esbuild: Vulnerabilidade de Path Traversal no Servidor de Desenvolvimento no Windows
O servidor de desenvolvimento do esbuild no Windows possui uma vulnerabilidade de path traversal devido ao uso de path.
fabric: vulnerabilidade XSS em fabric.Gradient.colorStops via toSVG()
Uma vulnerabilidade de Cross-Site Scripting (XSS) foi descoberta no Fabric.
@budibase/server: Bypass de autorização no endpoint de schema de webhook
O endpoint POST /api/webhooks/schema/:instance/:id está incorretamente ignorado pelo middleware de autorização, permitindo que usu
esbuild Deno module baixa binários sem verificação de integridade
O módulo Deno do esbuild (lib/deno/mod.
@hapi/wreck: comparação de origem completa em redirecionamentos
Wreck agora usa comparação completa de origem (esquema, host, porta) em vez de apenas hostname ao decidir se deve remover cabeçalh
joi: DoS via untrapped exception em schemas link recursivos
Denial of service via exceção não capturada em serviços que validam entrada JSON/objeto fornecida pelo usuário com schemas link re
@hapi/inert: Vulnerabilidade de path traversal no confinamento de diretórios
A verificação de confinamento do @hapi/inert permite leitura de arquivos de diretórios irmãos cujos nomes compartilham um prefixo
@element-hq/element-call-embedded: vazamento de URLs com fragmentos via PostHog (corrigido em 0.19.4)
Nas versões 0.5.17 a 0.19.3, o Element Call reportava dados de analytics para um servidor PostHog, incluindo URLs completas com fr
@openzeppelin/wizard: injeção de código em arquivos de teste gerados
O OpenZeppelin Contracts Wizard gerava arquivos de teste de exemplo que interpolavam strings fornecidas pelo usuário sem escapamen
@grpc/grpc-js: mensagem comprimida inválida causa crash
Uma mensagem comprimida inválida pode causar crash em clientes e servidores @grpc/grpc-js.
@grpc/grpc-js: crash em servidores via stream HTTP/2 inválida
Uma iniciação inválida de stream HTTP/2 recebida pode causar falha no processo do servidor.
Vue 3.5.36: Nova versão do framework progressivo JavaScript
Vue 3.5.36 é uma nova versão do framework progressivo JavaScript para construção de interfaces web modernas.
vue 3.5.37: Lançamento de versão patch
Lançamento do Vue 3.5.37, uma versão patch do framework JavaScript progressivo para construção de UI web moderna.
vue 3.5.38 lançado
Lançamento da versão 3.5.38 do Vue, framework JavaScript progressivo para construção de interfaces web modernas.
@hulumi/policies: correção de detecção de múltiplos provedores federados em políticas de confiança IAM
Políticas de confiança IAM da AWS com múltiplos provedores de identidade federados (ex.
@hulumi/policies <1.4.0: vulnerabilidade de bypass em verificação de URN
Uma vulnerabilidade de segurança em @hulumi/policies <1.
@hulumi/policies: correção na validação da política HULUMI-H5
A política HULUMI-H5 em @hulumi/policies <1.
@hulumi/baseline: Vulnerabilidades de imutabilidade no S3 de auditoria corrigidas
O bucket S3 criado pelo AccountFoundation para logs de auditoria do CloudTrail e AWS Config tinha três vulnerabilidades: (1) Objec
@hulumi/drift: bugs no classificador mascaram ataques e dispararam falsos positivos
Dois bugs no classificador do @hulumi/drift: (1) falhas de adaptador eram cacheadas como 'tudo limpo' (None/none) por 6 horas, mas
Baileys: Vulnerabilidade de segurança em placeholderResendMessage permite falsificação de mensagens
Uma vulnerabilidade de segurança no baileys permite que payloads maliciosos via placeholderResendMessage falsifiquem mensagens, co
Vue 3.5.35: Lançamento de versão patch
Lançamento do Vue 3.5.35, versão patch do framework JavaScript progressivo.
eslint 10.4.1: release de patch
Lançamento do ESLint versão 10.4.1, um verificador de padrões baseado em AST para JavaScript.
Vite 8.0.15 lançado
Versão 8.0.15 do Vite, ferramenta de build para desenvolvimento web baseada em ESM nativo, foi lançada.
vite 8.0.16: nova versão disponível
Versão 8.0.16 do Vite, ferramenta de build para web baseada em ESM nativo, foi lançada.
Vite 6.4.3 lançado
Vite 6.4.3 é uma versão da ferramenta de build web baseada em Native-ESM.