js 2026
Vue 3.5.36: Nova versão do framework progressivo JavaScript
Vue 3.5.36 é uma nova versão do framework progressivo JavaScript para construção de interfaces web modernas.
vue 3.5.37: Lançamento de versão patch
Lançamento do Vue 3.5.37, uma versão patch do framework JavaScript progressivo para construção de UI web moderna.
vue 3.5.38 lançado
Lançamento da versão 3.5.38 do Vue, framework JavaScript progressivo para construção de interfaces web modernas.
@hulumi/policies: correção de detecção de múltiplos provedores federados em políticas de confiança IAM
Políticas de confiança IAM da AWS com múltiplos provedores de identidade federados (ex.
@hulumi/policies <1.4.0: vulnerabilidade de bypass em verificação de URN
Uma vulnerabilidade de segurança em @hulumi/policies <1.
@hulumi/policies: correção na validação da política HULUMI-H5
A política HULUMI-H5 em @hulumi/policies <1.
@hulumi/baseline: Vulnerabilidades de imutabilidade no S3 de auditoria corrigidas
O bucket S3 criado pelo AccountFoundation para logs de auditoria do CloudTrail e AWS Config tinha três vulnerabilidades: (1) Objec
@hulumi/drift: bugs no classificador mascaram ataques e dispararam falsos positivos
Dois bugs no classificador do @hulumi/drift: (1) falhas de adaptador eram cacheadas como 'tudo limpo' (None/none) por 6 horas, mas
Baileys: Vulnerabilidade de segurança em placeholderResendMessage permite falsificação de mensagens
Uma vulnerabilidade de segurança no baileys permite que payloads maliciosos via placeholderResendMessage falsifiquem mensagens, co
Vue 3.5.35: Lançamento de versão patch
Lançamento do Vue 3.5.35, versão patch do framework JavaScript progressivo.
eslint 10.4.1: release de patch
Lançamento do ESLint versão 10.4.1, um verificador de padrões baseado em AST para JavaScript.
Vite 8.0.15 lançado
Versão 8.0.15 do Vite, ferramenta de build para desenvolvimento web baseada em ESM nativo, foi lançada.
vite 8.0.16: nova versão disponível
Versão 8.0.16 do Vite, ferramenta de build para web baseada em ESM nativo, foi lançada.
Vite 6.4.3 lançado
Vite 6.4.3 é uma versão da ferramenta de build web baseada em Native-ESM.
Node.js Blog: Node.js v26.3.0 lançado
Node.js v26.3.0 foi lançado com atualizações incluindo mudanças notáveis, commits e lista de contribuidores.
React 19.0.7: patch release
React 19.0.7 é uma versão de patch da biblioteca React para construção de interfaces de usuário.
react 19.1.8: patch release
React 19.1.8 é uma versão de patch da biblioteca React para construção de interfaces de usuário.
NocoDB: Shared-view relation endpoints now enforce column visibility
Public shared-view relation endpoints (`publicMmList`, `publicHmList`, `relDataList`) now verify that the requested column's `show
NocoDB: Vulnerabilidade XSS refletido na página de redefinição de senha
A página de redefinição de senha do NocoDB tinha uma vulnerabilidade XSS refletido onde o token da URL era embutido diretamente em
NocoDB: Plugin hashRedirect rejeita URLs relativas a protocolo para evitar redirecionamento aberto
O plugin hashRedirect no lado do cliente agora rejeita URLs relativas a protocolo (iniciadas com //) para prevenir ataques de redi
NocoDB: Correção de vulnerabilidade de timing side-channel na verificação de senha de visualização compartilhada
A verificação de senha de visualização compartilhada em View.
NocoDB: Correção de vazamento de tempo na autenticação
O branch unknown-user em auth.service.ts agora executa bcrypt.compare contra um hash fixo para igualar os tempos de resposta de lo
nocodb: Escopo de permissão do endpoint testConnection corrigido
O endpoint `testConnection` agora verifica permissões no workspace da integração, rejeitando requisições com workspace diferente.
nocodb: Adicionada validação de host em validateDbConnectionHost para prevenir SSRF
Adicionado helper `validateDbConnectionHost` que resolve hostnames, analisa endereços com ipaddr.
NocoDB: Injeção SQL no endpoint bulk groupBy via título de coluna
Um usuário autenticado com permissão para criar colunas pode injetar SQL no endpoint bulk groupBy definindo o título de uma coluna
nocodb: Correção de condição de corrida no fluxo OAuth com PKCE
Corrigida uma condição de corrida na troca de tokens OAuth onde duas requisições concorrentes usando o mesmo código de autorização
NocoDB: MCP readAttachment agora verifica propriedade do arquivo
A ferramenta MCP readAttachment agora verifica a propriedade do arquivo consultando o caminho em nc_file_references e checando se
NocoDB: OAuth tokens revogados após alteração de senha
A função revokeAllOAuthTokensByUser agora revoga tokens de acesso e refresh OAuth quando um usuário altera, redefine ou recupera s
Actual macOS 25.x: ELECTRON_RUN_AS_NODE fuse permite execução arbitrária de código
A vulnerabilidade foi identificada no aplicativo Actual macOS versão 25.
fuxa-server: Vulnerabilidade de injeção SQL no conector TDengine
A função escapeTdString do conector de armazenamento DAQ TDengine duplica aspas simples, mas não escapa barras invertidas, permiti
fuxa-server: Correção de permissão na API Scheduler (versão 1.3.2)
A API Scheduler não impunha permissões de administrador, permitindo que usuários não administradores criassem ou modificassem açõe
NocoDB: Stored XSS via row comments (HTML sem sanitização e Tippy allowHTML)
Vulnerabilidade de XSS armazenado em comentários de linha: HTML armazenado sem sanitização no servidor, e tooltip Tippy com allowH
NocoDB: Vulnerabilidade de XSS em redirect_url de formulários compartilhados
O manipulador de submissão de formulário compartilhado em NocoDB escreve o `redirect_url` do formulário em `window.
DbGate-serve: RCE via injeção de código no endpoint /runners/start
O endpoint POST /runners/start do DbGate permite execução remota de código via injeção no parâmetro functionName de comandos assig
dbgate-api: Injeção de código arbitrário no endpoint POST /runners/load-reader
O endpoint POST /runners/load-reader em DbGate interpola diretamente o parâmetro functionName em um template de código JavaScript
TinyMCE 6.8.x-7.0.x: XSS via SVG namespace bypass
TinyMCE 6.8.x-7.0.x contém uma vulnerabilidade XSS devido ao tratamento inadequado do escopo do namespace SVG no sanitizador, perm
TinyMCE: Stored XSS via dados não sanitizados em atributos data-mce-*
Vulnerabilidade de XSS armazenado via atributos data-mce-* (data-mce-href, data-mce-src, data-mce-style) não sanitizados.
TinyMCE: Stored XSS via mce:protected comments
Stored XSS vulnerability via forged mce:protected comments allows attackers to bypass sanitization and inject scripts when content
TinyMCE: Vulnerabilidade de XSS Armazenado no Plugin de Mídia
Vulnerabilidade de XSS armazenado no plugin de mídia permite que atacantes injetem scripts maliciosos através de atributos data-mc
fuxa-server: vulnerabilidade de SSRF não autenticada em handlers Socket.IO
Dois handlers de eventos Socket.