Antonin B

**Nome do Software Vulnerável e Versões Afetadas** Produtos Cisco Unified Communications (versões afetadas não especificadas) **Descrição** Uma vulnerabilidade na CLI de vários produtos Cisco Unified Communications pode permitir que um atacante local autenticado execute comandos arbitrários no sistema operacional subjacente de um dispositivo afetado como o usuário root. Este problema ocorre devido à validação inadequada de argumentos de comando fornecidos pelo usuário. Um atacante pode explorar essa vulnerabilidade executando comandos elaborados na CLI de um dispositivo afetado, o que lhe permite executar comandos arbitrários no sistema operacional subjacente como o usuário root. O atacante deve possuir credenciais administrativas válidas para explorar esta vulnerabilidade. **Recomendações** Atualmente, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** Cisco Unified Contact Center Express (Unified CCX) Editor (versões afetadas não especificadas) **Descrição** O problema está relacionado à desserialização insegura de objetos Java pelo software afetado. Um atacante poderia explorar isso ao persuadir um usuário local autenticado a abrir um arquivo .aef manipulado, potencialmente permitindo a execução de código arbitrário no host com os privilégios do usuário que iniciou o aplicativo editor. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

Nome do software vulnerável e versões afetadas: IBM Security Verify Access Appliance, versões 10.0.0 a 10.0.8 Descrição: O problema está relacionado à falha na neutralização de elementos especiais, o que poderia permitir que um invasor remoto autenticado executasse comandos arbitrários no sistema ao enviar uma solicitação especialmente criada. Isso poderia levar à execução de código arbitrário. Recomendações: Para as versões 10.0.0 a 10.0.8 do IBM Security Verify Access Appliance, considere desativar a funcionalidade que permite que invasores remotos autenticados enviem solicitações especialmente criadas até que uma correção esteja disponível. Restrinja o acesso ao sistema para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

Nome do software vulnerável e versões afetadas: IBM Security Verify Access Appliance, versões 10.0.0 a 10.0.8 Descrição: O problema diz respeito à presença de credenciais codificadas de forma rígida, como senhas ou chaves criptográficas, utilizadas para autenticação de entrada, comunicação de saída para componentes externos ou criptografia de dados internos. Recomendações: Para as versões 10.0.0 a 10.0.8, considere desativar o uso de credenciais codificadas como uma solução temporária até que um patch esteja disponível. Restrinja o acesso ao dispositivo para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

Nome do software vulnerável e versões afetadas: IBM Security Verify Access Appliance, versões 10.0.0 a 10.0.8 Descrição: O problema diz respeito a credenciais codificadas, como senhas ou chaves criptográficas, utilizadas pelo dispositivo para sua própria autenticação de tráfego de entrada, comunicação de saída com componentes externos ou criptografia de dados internos. Isso representa sérios riscos à segurança cibernética. Recomendações: Para as versões 10.0.0 a 10.0.8, considere desativar o uso de credenciais codificadas como uma solução temporária até que um patch esteja disponível. Restrinja o acesso ao dispositivo para minimizar o risco de exploração. Evite usar o dispositivo afetado para operações confidenciais até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

Nome do software vulnerável e versões afetadas: Oracle E-Business Suite, versões 12.2.3 a 12.2.13 Descrição: O problema está relacionado à validação insuficiente de entradas no componente Approvals do Oracle Purchasing. Isso permite que um invasor com poucos privilégios e acesso à rede via HTTP comprometa o Oracle Purchasing. Ataques bem-sucedidos exigem interação humana de uma pessoa que não seja o invasor e podem impactar significativamente outros produtos. Os ataques podem resultar em acesso não autorizado para atualização, inserção ou exclusão de alguns dos dados acessíveis do Oracle Purchasing, bem como acesso não autorizado para leitura de um subconjunto dos dados acessíveis do Oracle Purchasing. Recomendações: Para as versões 12.2.3 a 12.2.13, atualize para uma versão que inclua a correção para este problema. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas: Oracle E-Business Suite versões 12.1.3 e 12.2.3 a 12.2.10 Descrição: O problema está relacionado à validação insuficiente de entradas no componente Proxy User Delegation do Oracle User Management. Isso permite que um invasor com privilégios limitados e acesso à rede via HTTP comprometa o Oracle User Management, resultando em acesso de leitura não autorizado a um subconjunto de dados acessíveis do Oracle User Management. Recomendações: Para as versões 12.1.3 e 12.2.3 a 12.2.10, atualize para uma versão que inclua a correção para este problema. Como solução alternativa temporária, considere restringir o acesso ao componente Proxy User Delegation até que um patch esteja disponível. Evite usar o componente vulnerável por meio de solicitações HTTP até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Oracle E-Business Suite, versão 12.2.9 **Descrição** O problema está relacionado ao componente Anexos/Upload de Arquivos do produto Oracle Applications Framework. Ele permite que um invasor com privilégios limitados e acesso à rede via HTTP comprometa a estrutura, exigindo a interação humana de uma pessoa que não seja o invasor. Ataques bem-sucedidos podem resultar em acesso não autorizado a dados críticos, acesso completo a todos os dados acessíveis, bem como acesso não autorizado para atualizar, inserir ou excluir alguns dados acessíveis. A vulnerabilidade pode afetar significativamente outros produtos. **Recomendações** Para a versão 12.2.9, considere restringir o acesso ao componente Anexos/Upload de Arquivos até que um patch esteja disponível. Como solução alternativa temporária, desativar o componente pode ajudar a minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.