B1U3R

Nome do Software Vulnerável e Versões Afetadas: Aplicações Spring Framework MVC (versões afetadas não especificadas) Descrição: Aplicações Spring Framework MVC podem estar vulneráveis a uma "Vulnerabilidade de Path Traversal" quando implantadas em um container Servlet não conforme. Este problema ocorre quando a aplicação é implantada como um WAR ou com um container Servlet incorporado, o container Servlet não rejeita sequências suspeitas e a aplicação serve recursos estáticos utilizando o gerenciamento de recursos do Spring. Aplicações implantadas no Apache Tomcat ou Eclipse Jetty não são vulneráveis, desde que as funcionalidades de segurança padrão não estejam desabilitadas. Recomendações: No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Name of the Vulnerable Software and Affected Versions** FreeSWITCH versions prior to 1.8.3 **Description** The issue allows remote attackers to execute arbitrary commands when mod xml rpc is enabled. This can be achieved via the `api/system` or `txtapi/system` (or `api/bg system` or `txtapi/bg system`) query string on TCP port 8080. For example, an attacker can use an `api/system?calc` URI to exploit this. Additionally, this can also be exploited via CSRF. In some cases, the default password for the freeswitch account can be used. **Recommendations** For FreeSWITCH versions prior to 1.8.3, update to version 1.8.3 or later to resolve the issue. As a temporary workaround, consider disabling the mod xml rpc module until a patch is available. Restrict access to the TCP port 8080 to minimize the risk of exploitation. Change the default password for the freeswitch account to prevent unauthorized access.