Benjamin Harris

**Nome do Software Vulnerável e Versões Afetadas** SAP NetWeaver versões anteriores a setembro de 2025 **Descrição** Um problema crítico de execução remota de código existe no Servidor de Desenvolvimento SAP NetWeaver, especificamente na função Metadata Uploader da ferramenta Visual Composer. A falha é causada por autorização inadequada e validação insuficiente de arquivos de modelo carregados através do endpoint 'metadatauploader', bem como deficiências no mecanismo de desserialização. Isso permite que invasores remotos não autenticados carreguem binários executáveis maliciosos, frequentemente empacotados como arquivos ZIP ou JAR com o tipo de conteúdo `application/octet-stream`, que o servidor processa erroneamente como conteúdo seguro. Uma vez processados, isso pode levar ao comprometimento total do sistema, afetando a confidencialidade, integridade e disponibilidade. A exploração no mundo real foi observada desde março de 2025, com aumento da atividade após o lançamento de um exploit em agosto de 2025. Atacantes, incluindo APTs ligados à China e grupos como Lapsus e Shinyhunters, visaram os setores governamental, de varejo, telecomunicações e financeiro, incluindo uma empresa de produtos químicos sediada nos EUA. As cadeias de exploração envolveram a implantação de web shells como 'helper.jsp' e 'cache.jsp', e a instalação de um backdoor para Linux chamado Auto-Color para manter a persistência, executar reverse shells e roubar dados. **Recomendações** Aplicar as atualizações de segurança da SAP lançadas em setembro de 2025. Implantar sistemas de prevenção e detecção de intrusões (IPS/IDS) para identificar solicitações POST para o endpoint 'metadatauploader' que contenham indicações de `application/octet-stream` e payloads binários. Utilizar soluções de detecção e resposta de endpoint (EDR) para monitorar comportamentos anômalos de processos SAP, como execuções inesperadas de linha de comando. Restringir a exposição de servidores de desenvolvimento a redes confiáveis.

**Nome do software vulnerável e versões afetadas** Versões do Actual Analyzer anteriores a 29/08/2014 **Descrição** A vulnerabilidade permite a execução de código por meio de metacaracteres do shell, pois entradas não confiáveis são utilizadas em parte dos dados de entrada passados para uma operação eval. **Recomendações** Para versões anteriores a 29/08/2014, no momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Name of the Vulnerable Software and Affected Versions** PhpWiki version 1.5.0 **Description** The issue allows remote attackers to execute arbitrary code via shell metacharacters in a device option in the `edit[content]` parameter to "index.php/HeIp". **Recommendations** For PhpWiki version 1.5.0, avoid using the `edit[content]` parameter in the "index.php/HeIp" endpoint until the issue is resolved. As a temporary workaround, consider restricting access to the Ploticus module to minimize the risk of exploitation.

**Name of the Vulnerable Software and Affected Versions** XRMS CRM version 1.99.2 **Description** The issue allows remote authenticated users to execute arbitrary code via shell metacharacters in the `username` parameter in the plugins/useradmin/fingeruser.php file. **Recommendations** For version 1.99.2, avoid using the `username` parameter in the affected file until the issue is resolved. Consider restricting access to the fingeruser.php file to minimize the risk of exploitation.