js
Boletins de js.
Node.js v22.23.0 lançada com npm 10.9.2 e correções
Node.js v22.23.0 foi lançada, incluindo atualização do npm para 10.9.2, atualização do ICU e várias correções.
Node.js Blog: Node.js v26.3.1 lançado como patch
Node.js v26.3.1 foi lançado como versão de patch.
@mariozechner/pi-coding-agent: race condition expõe credenciais no auth.json
Uma condição de corrida no caminho de escrita do arquivo auth.
@earendil-works/pi-coding-agent: carregamento de extensões locais agora exige aprovação
Pi antes da versão 0.79.0 carregava extensões e configurações do diretório .pi do repositório sem aprovação do usuário. Na versão
n8n: Permissão excessiva em endpoints de execução de teste de avaliação
Três endpoints mutantes no controlador de execuções de teste de avaliação usavam o escopo `workflow:read` em vez de `workflow:exec
chrome-devtools-mcp: PID file symlink vulnerability (local privilege escalation)
O daemon chrome-devtools-mcp grava seu arquivo PID em um caminho determinístico sob /tmp sem usar O_NOFOLLOW, permitindo que um at
NocoDB: Senha esquecida não invalida refresh tokens
O fluxo de redefinição de senha não excluía os refresh tokens do usuário, permitindo que um token roubado permanecesse válido após
nocodb: Correção de case em chave do handler de anexos seguros
Um erro de case na chave do handler de anexos seguros fazia com que o cabeçalho `Content-Disposition: attachment` fosse ignorado,
NocoDB: Validação de protocolo no endpoint base-migration
O endpoint base-migration agora valida que o protocolo da URL de migração é http: ou https:, rejeitando outros.
NocoDB: spreadsheet-import endpoint perde funcionalidade de proxy HTTP genérico
O endpoint spreadsheet-import `axiosRequestMake` não pode mais ser usado como proxy HTTP genérico.
@anthropic-ai/claude-code: Remoção de aprovação automática do hostname huggingface.co no WebFetch
O hostname huggingface.co não é mais pré-aprovado como hostname simples para a ferramenta WebFetch. Antes, qualquer caminho nesse
webpack-dev-server: vulnerabilidade de segurança no proxy com contexto amplo e ws:true
Um advisory de segurança foi publicado para webpack-dev-server sobre uma vulnerabilidade onde um proxy configurado pelo usuário co
OpenClaw: vazamento de cabeçalhos personalizados em redirecionamento HTTP Streamable
Servidores OpenClaw MCP Streamable HTTP com cabeçalhos personalizados podiam encaminhar esses cabeçalhos para um destino de redire
Multer vulnerável a DoS por aninhamento profundo de nomes de campos
Multer sofre de uma vulnerabilidade de Negação de Serviço (DoS) através de nomes de campos profundamente aninhados em dados de for
Hono: Adapter Lambda@Edge sobrescreve cabeçalhos repetidos
O adaptador AWS Lambda@Edge do Hono usa `Headers.
Hono Body Limit Middleware confia em Content-Length não verificado no AWS Lambda
O Body Limit Middleware do Hono confia no cabeçalho Content-Length declarado pelo cliente sem verificar o tamanho real do corpo, p
@astrojs/netlify converte image.remotePatterns com semântica mais ampla
O adaptador @astrojs/netlify converte image.
Astro: Injeção de atributos HTML via spreadAttributes sem escape de chaves
A função spreadAttributes no pipeline de renderização server-side do Astro não escapa chaves de objetos ao interpolá-las em nomes
n8n: Vulnerabilidade no nó Git permite bypass do sandbox de arquivos
Uma vulnerabilidade de segurança no nó Git permitia que usuários autenticados com permissões de criação/modificação de workflows b
n8n: Vulnerabilidade de injeção SQL nos nós TimescaleDB e Postgres v1
Vulnerabilidade de injeção SQL nos nós TimescaleDB e Postgres v1 permite execução arbitrária de SQL.
n8n: Vulnerabilidade no nó MongoDB Find And Replace permite sobrescrita maliciosa de documentos
Uma vulnerabilidade de segurança na operação Find And Replace do nó MongoDB permite que usuários autenticados com acesso de edição
n8n: Permissão incorreta no endpoint de teste de workflow
O endpoint POST /workflows/{workflowId}/test-runs/new estava usando a permissão workflow:read em vez de workflow:execute, permitin
n8n: Falta de validação em nós MicrosoftAgent365Trigger e StripeTrigger
Os nós MicrosoftAgent365Trigger e StripeTrigger não validavam requisições de entrada, permitindo que atacantes não autenticados en
n8n: Vulnerabilidade de poluição de protótipo em webhooks públicos
Uma vulnerabilidade de poluição de protótipo no n8n permitia que um payload de webhook público manipulado injetasse campos control
n8n: Vulnerabilidade de poluição de protótipo no nó Merge (modo SQL Query)
Uma vulnerabilidade de poluição de protótipo no sandbox do modo SQL Query do nó Merge permite que usuários autenticados com permis
n8n: Reflected XSS em nós de trigger do Meta e Microsoft Teams
Vulnerabilidade de XSS refletido nos nós de trigger do Meta e Microsoft Teams devido à reflexão não sanitizada de parâmetros de co
n8n: Vulnerabilidade de bypass do validador AST no nó Python Code
Usuários autenticados com permissão para criar ou modificar workflows que contenham um nó Python Code podem contornar o validador
n8n: Permissão incorreta no endpoint de repetição de execuções
O endpoint da API pública para repetir execuções autorizava acesso usando 'workflow:read' em vez de 'workflow:execute', permitindo
n8n: Compression node Decompress operation agora impõe limites de tamanho e contagem de entradas ZIP
A operação Decompress do nó Compression agora impõe limites configuráveis no tamanho da saída descomprimida e na contagem de entra
Nuxt <NoScript> componente XSS via innerHTML
O componente <NoScript> do Nuxt escrevia o conteúdo do slot em innerHTML em vez de textContent, ignorando a escape de HTML e permi