Andrew Johnson

**Nome do software vulnerável e versões afetadas: Plataforma Eclipse versões 4.18 e anteriores Descrição: O Subsistema de Ajuda da Plataforma Eclipse não autentica solicitações de ajuda ativas enviadas ao servidor web de ajuda local. Isso permite que um invasor local não autenticado emita comandos de ajuda ativos para o processo associado da Plataforma Eclipse ou da Plataforma Eclipse Rich Client. Recomendações: Para as versões 4.18 e anteriores, considere desativar o Subsistema de Ajuda até que um patch esteja disponível para impedir o acesso não autorizado ao servidor web de ajuda local. Restrinja o acesso ao servidor web de ajuda local para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Eclipse Memory Analyzer versões 1.9.1 e anteriores **Descrição** O problema diz respeito a uma vulnerabilidade de deserialização. Ela pode ocorrer se um arquivo de índice de um despejo de memória analisado for substituído por uma versão maliciosa e o despejo de memória for reaberto no Memory Analyzer. Para que o problema ocorra, o usuário deve optar por reabrir um despejo de heap já analisado com um índice não confiável. Além disso, alguns dados de configuração local estão sujeitos a uma vulnerabilidade de desserialização caso os dados locais sejam substituídos por uma versão maliciosa. Isso pode ser evitado se os dados de configuração local armazenados no sistema de arquivos não puderem ser alterados por um invasor. A vulnerabilidade poderia permitir a execução de código no sistema local. **Recomendações** Para as versões 1.9.1 e anteriores do Eclipse Memory Analyzer, para evitar o problema, exclua os arquivos de índice de fontes não confiáveis e abra e analise novamente o despejo de memória. Certifique-se de que os dados de configuração locais armazenados no sistema de arquivos não possam ser alterados por um invasor.