Brian

**Nome do Software Vulnerável e Versões Afetadas** Firefox ESR versão 115.34 Firefox ESR versão 140.9 Thunderbird ESR versão 140.9 Firefox versão 149 Thunderbird versão 149 **Descrição** Falhas de segurança de memória envolvendo corrupção de memória podem permitir que um invasor execute código arbitrário. **Recomendações** Atualizar o Firefox ESR 115.34 para a versão 115.35. Atualizar o Firefox ESR 140.9 para a versão 140.10. Atualizar o Thunderbird ESR 140.9 para a versão 140.10. Atualizar o Firefox 149 para a versão 150. Atualizar o Thunderbird 149 para a versão 150.

**Nome do software vulnerável e versões afetadas** Thales Imperva SecureSphere WAF versões 14.7.0.40 e anteriores, sem a atualização de fevereiro de 2024 do Application Delivery Controller (ADC) Thales Imperva SecureSphere versões anteriores à atualização de fevereiro de 2024 **Descrição** O problema está relacionado a um controle de acesso inadequado no Thales Imperva SecureSphere WAF, permitindo que invasores remotos contornem as regras do WAF por meio de solicitações POST especialmente criadas. Isso pode levar a violações devastadoras, incluindo ataques de injeção de SQL e cross-site scripting (XSS). A vulnerabilidade pode ser explorada enviando uma solicitação com cabeçalhos Content-Encoding especialmente criados, como múltiplos cabeçalhos ou combinações específicas, como gzip e deflate. O número estimado de dispositivos potencialmente afetados não foi especificado. **Recomendações** Para as versões 14.7.0.40 e anteriores do Thales Imperva SecureSphere WAF, sem a atualização de fevereiro de 2024 do Application Delivery Controller (ADC), atualize para uma versão que inclua a atualização do ADC de fevereiro de 2024 para corrigir a vulnerabilidade. Para as versões do Thales Imperva SecureSphere anteriores à atualização de fevereiro de 2024, aplique a atualização de fevereiro de 2024 para resolver o problema. Como solução alternativa temporária, considere restringir o acesso ao WAF e limitar o uso de solicitações HTTP com vários cabeçalhos Content-Encoding até que a atualização seja aplicada.

**Name of the Vulnerable Software and Affected Versions** Masa CMS versions 7.2 through 7.4-beta **Description** A vulnerability in the Remember Me function of Masa CMS allows attackers to bypass authentication via a crafted web request. **Recommendations** For versions 7.2 through 7.4-beta, consider disabling the Remember Me function as a temporary workaround until a patch is available.

**Name of the Vulnerable Software and Affected Versions** Mura CMS versions prior to 10.0.580 **Description** A vulnerability in the Remember Me function allows attackers to bypass authentication via a crafted web request. **Recommendations** For versions prior to 10.0.580, update to version 10.0.580 or later to resolve the issue. As a temporary workaround, consider disabling the Remember Me function until a patch is available.

**Name of the Vulnerable Software and Affected Versions** Apache Tika versions 0.1 through 1.18 **Description** The issue is related to the XML parsers in Apache Tika not being configured to limit entity expansion, making them vulnerable to an entity expansion vulnerability. This can lead to a denial of service attack. The vulnerability is also associated with incorrect restriction of XML links to external objects, which can be exploited by a remote attacker to cause a denial of service. **Recommendations** For Apache Tika versions 0.1 through 1.18, consider configuring the XML parsers to limit entity expansion as a temporary workaround to mitigate the risk of a denial of service attack. At the moment, there is no information about a newer version that contains a fix for this vulnerability.

**Name of the Vulnerable Software and Affected Versions** Jamroom versions prior to 4.1.9 **Description** A cross-site scripting issue exists, allowing remote attackers to inject arbitrary web script or HTML. This is achieved via the `post id` parameter in a modify action in the "forum.php" file. **Recommendations** For versions prior to 4.1.9, update to version 4.1.9 or later to resolve the issue. As a temporary workaround, consider restricting access to the modify action in "forum.php" to minimize the risk of exploitation. Avoid using the `post id` parameter in the affected API endpoint until the issue is resolved.

Name of the Vulnerable Software and Affected Versions: Oracle Portal versions prior to 10g Description: The issue allows remote attackers to inject arbitrary HTTP headers and conduct HTTP response splitting attacks via CRLF sequences in the `enc` parameter in the `/webapp/jsp/calendar.jsp` endpoint. Recommendations: For Oracle Portal versions prior to 10g, update to a version that is not affected by this issue to prevent HTTP response splitting attacks.