Bit-Sec

**Name of the Vulnerable Software and Affected Versions** Nacos Spring Project versions 1.1.1 and earlier **Description** The issue allows a remote attacker to execute arbitrary code via the `SnakeYamls` `Constructor()` component. This enables the attacker to potentially gain control over the system, leading to severe security consequences. **Recommendations** For versions 1.1.1 and earlier, consider disabling the `SnakeYamls` component or restricting access to it until a patch is available. As a temporary workaround, avoid using the `Constructor()` function of the `SnakeYamls` component to minimize the risk of exploitation. At the moment, there is no information about a newer version that contains a fix for this vulnerability.

**Nome do software vulnerável e versões afetadas** Archery, versões 1.7.0 a 1.8.5 **Descrição** O problema está relacionado a uma vulnerabilidade de injeção de SQL. Essa vulnerabilidade pode ser explorada por meio do parâmetro `checksum` no módulo de relatórios. **Recomendações** Para as versões 1.7.0 a 1.8.5, como solução temporária, considere restringir o acesso ao módulo de relatórios até que uma correção esteja disponível. Evite usar o parâmetro `checksum` no módulo afetado para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Archery, versões 1.7.5 a 1.8.5 **Descrição** O problema está relacionado a uma vulnerabilidade de injeção de SQL. Essa vulnerabilidade pode ser explorada por meio do parâmetro `where` no endpoint da API “/archive/apply”. **Recomendações** Para as versões 1.7.5 a 1.8.5, como solução temporária, considere restringir o acesso ao endpoint da API “/archive/apply” até que um patch esteja disponível. Evite usar o parâmetro `where` no endpoint da API afetado até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Archery, versões 1.4.5 a 1.8.5 **Descrição** O problema diz respeito a várias vulnerabilidades de injeção de SQL. Essas vulnerabilidades estão presentes nos parâmetros `start file`, `end file`, `start time` e `stop time` da interface binlog2sql. **Recomendações** Para as versões 1.4.5 a 1.8.5, considere restringir o acesso à interface binlog2sql até que um patch esteja disponível. Como solução temporária, evite usar os parâmetros `start file`, `end file`, `start time` e `stop time` na interface binlog2sql para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Archery, versões 1.8.3 a 1.8.5 **Descrição** O problema está relacionado a várias vulnerabilidades de injeção de SQL. Essas vulnerabilidades podem ser exploradas por meio dos parâmetros `start time` e `stop time` na interface my2sql. **Recomendações** Para as versões 1.8.3 a 1.8.5, considere restringir o acesso à interface my2sql até que um patch esteja disponível. Como solução temporária, evite usar os parâmetros `start time` e `stop time` na interface my2sql para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Archery, versões 1.4.0 a 1.8.5 **Descrição** O problema está relacionado a uma vulnerabilidade de injeção de SQL. Ela ocorre por meio do parâmetro `ThreadIDs` na interface “kill session”. **Recomendações** Para as versões 1.4.0 a 1.8.5, atualize para a versão 1.9.0 ou superior para resolver o problema. Como solução temporária, considere restringir o acesso à interface `kill session` até que a atualização seja aplicada. Evite usar o parâmetro `ThreadIDs` na interface afetada até que o problema seja resolvido.

**Nome do software vulnerável e versões afetadas** Archery, versões 1.4.0 a 1.8.5 **Descrição** O problema está relacionado a uma vulnerabilidade de injeção de SQL. Ela pode ser explorada por meio do parâmetro `ThreadIDs` na interface `create kill session`. **Recomendações** Para as versões 1.4.0 a 1.8.5 do Archery, considere restringir o acesso à interface `create kill session` até que um patch esteja disponível. Como solução temporária, evite usar o parâmetro `ThreadIDs` na interface afetada para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.