Chi Tran

Nome do software vulnerável e versões afetadas: Versões do Apache Answer até a 1.4.0 Descrição: O problema está relacionado à força de criptografia inadequada no Apache Answer, especificamente ao uso da versão UUID v1 para a geração de identificadores. Isso pode tornar o token gerado previsível, levando potencialmente à exposição de dados confidenciais. Recomendações: Para as versões do Apache Answer até a 1.4.0, atualize para a versão 1.4.1 para corrigir o problema. Como solução temporária, considere restringir o uso da versão UUID v1 para a geração de IDs até que a atualização seja aplicada.

**Nome do software vulnerável e versões afetadas** Versões do Apache Roller anteriores à 6.1.4 **Descrição** Existe uma vulnerabilidade de falsificação de recursos entre sites (CSRF) e de escalonamento de privilégios no Apache Roller. Em sites do Roller com vários blogs ou usuários, os proprietários dos blogs têm, por padrão, permissão para publicar conteúdo arbitrário. Isso, combinado com uma deficiência nas proteções contra CSRF do Roller, permite um ataque de escalonamento de privilégios. **Recomendações** Para resolver o problema, atualize para a versão 6.1.4, que corrige a falha. Como solução temporária, considere restringir o acesso a áreas confidenciais do aplicativo para minimizar o risco de exploração.

**Name of the Vulnerable Software and Affected Versions** Canon imageCLASS series versions prior to firmware Ver.11.04 Canon LBP series versions prior to firmware Ver.11.04 Canon MF series versions prior to firmware Ver.11.04 Canon i-SENSYS series versions prior to firmware Ver.11.04 Canon PIXMA series (affected versions not specified) Canon MAXIFY series (affected versions not specified) Canon imagePROGRAF series (affected versions not specified) **Description** The issue is related to a buffer overflow in the IPP number-up attribute process of Canon printers, which may allow an attacker on the network segment to trigger the affected product being unresponsive or to execute arbitrary code. This can be exploited by a remote attacker. **Recommendations** For Canon imageCLASS series versions prior to firmware Ver.11.04, update to firmware Ver.11.05 or later. For Canon LBP series versions prior to firmware Ver.11.04, update to firmware Ver.11.05 or later. For Canon MF series versions prior to firmware Ver.11.04, update to firmware Ver.11.05 or later. For Canon i-SENSYS series versions prior to firmware Ver.11.04, update to firmware Ver.11.05 or later. For Canon PIXMA, MAXIFY, and imagePROGRAF series, at the moment, there is no information about a newer version that contains a fix for this vulnerability.

**Nome do software vulnerável e versões afetadas** Versões do Apache OpenMeetings anteriores à 6.0.0 **Descrição** O serviço web NetTest pode ser usado para sobrecarregar a largura de banda de um servidor Apache OpenMeetings. Esse problema foi corrigido na versão 6.0.0 do Apache OpenMeetings. **Recomendações** Para versões anteriores à 6.0.0, atualize para o Apache OpenMeetings 6.0.0 para resolver o problema. Como solução alternativa temporária, considere restringir o acesso ao serviço web NetTest para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas: D-Link DAP-2020 versão 1.01rc001 Descrição: Esta vulnerabilidade permite que invasores na mesma rede divulguem informações confidenciais nas instalações afetadas. Não é necessária autenticação para explorar esta vulnerabilidade. A falha está presente no processamento de scripts CGI, especificamente ao analisar o parâmetro de solicitação `errorpage`. O processo não valida adequadamente um caminho fornecido pelo usuário antes de usá-lo em operações de arquivo. Um invasor pode explorar esta vulnerabilidade para divulgar credenciais armazenadas, levando a um comprometimento adicional. Recomendações: Para o D-Link DAP-2020 versão 1.01rc001, considere restringir o acesso a scripts CGI até que um patch esteja disponível. Como solução alternativa temporária, evite usar o parâmetro `errorpage` em solicitações para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Oracle E-Business Suite (componente: Administração de Marketing) versões 12.1.1 a 12.1.3 Oracle E-Business Suite (componente: Administração de Marketing) versões 12.2.3 a 12.2.10 **Descrição** A vulnerabilidade existe devido à validação insuficiente de entradas no componente Administração de Marketing do Oracle Marketing. Isso permite que um invasor remoto modifique dados ou obtenha acesso não autorizado ao dispositivo por meio de solicitações HTTP. Ataques bem-sucedidos requerem interação humana e podem resultar em acesso não autorizado a dados críticos, acesso completo a todos os dados acessíveis pelo Oracle Marketing, bem como acesso não autorizado para atualizar, inserir ou excluir alguns dados acessíveis pelo Oracle Marketing. **Recomendações** Para as versões 12.1.1 a 12.1.3, atualize para uma versão fora desse intervalo para resolver o problema. Para as versões 12.2.3 a 12.2.10, atualize para uma versão fora desse intervalo para resolver o problema. Como solução alternativa temporária, considere restringir o acesso ao componente Administração de Marketing até que um patch esteja disponível. Evite usar solicitações HTTP para o componente vulnerável até que o problema seja resolvido.

**Nome do software vulnerável e versões afetadas** Oracle E-Business Suite, versões 12.1.1 a 12.1.3 Oracle E-Business Suite, versões 12.2.3 a 12.2.10 **Descrição** O problema está relacionado à validação insuficiente de entradas no componente Administração de Marketing do Oracle Marketing. Isso permite que um invasor não autenticado com acesso à rede via HTTP comprometa o Oracle Marketing. Ataques bem-sucedidos exigem interação humana de uma pessoa que não seja o invasor e podem impactar significativamente outros produtos. Os ataques podem resultar em acesso não autorizado a dados críticos ou acesso completo a todos os dados acessíveis pelo Oracle Marketing, bem como acesso não autorizado para atualizar, inserir ou excluir alguns dos dados acessíveis pelo Oracle Marketing. **Recomendações** Para as versões 12.1.1 a 12.1.3, atualize para uma versão fora desse intervalo para mitigar o risco. Para as versões 12.2.3 a 12.2.10, atualize para uma versão fora desse intervalo para mitigar o risco. Como solução alternativa temporária, considere restringir o acesso ao componente Administração de Marketing até que um patch esteja disponível. Evite usar solicitações HTTP para o componente vulnerável até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Oracle E-Business Suite, versões 12.1.1 a 12.1.3 Oracle E-Business Suite, versões 12.2.3 a 12.2.10 **Descrição** O problema está relacionado à validação insuficiente de entradas no componente Administração de Marketing do Oracle Marketing. Isso permite que um invasor não autenticado com acesso à rede via HTTP comprometa o Oracle Marketing, resultando potencialmente em acesso não autorizado a dados críticos ou acesso completo a todos os dados acessíveis do Oracle Marketing, bem como acesso não autorizado para atualizar, inserir ou excluir alguns dos dados acessíveis do Oracle Marketing. Ataques bem-sucedidos requerem interação humana de uma pessoa que não seja o invasor. **Recomendações** Para as versões 12.1.1 a 12.1.3, atualize para uma versão fora desse intervalo para mitigar o risco. Para as versões 12.2.3 a 12.2.10, atualize para uma versão fora desse intervalo para mitigar o risco. Como solução alternativa temporária, considere restringir o acesso ao componente Marketing Administration até que um patch esteja disponível. Restrinja o acesso a dados confidenciais e implemente medidas de segurança adicionais para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Oracle E-Business Suite, versões 12.1.1 a 12.1.3 Oracle E-Business Suite, versões 12.2.3 a 12.2.10 **Descrição** O problema está relacionado à validação insuficiente de entradas no componente Administração de Marketing do Oracle Marketing. Isso permite que um invasor não autenticado com acesso à rede via HTTP comprometa o Oracle Marketing, resultando potencialmente em acesso não autorizado a dados críticos ou acesso completo a todos os dados acessíveis do Oracle Marketing, bem como acesso não autorizado para atualizar, inserir ou excluir alguns dos dados acessíveis do Oracle Marketing. Ataques bem-sucedidos requerem interação humana de uma pessoa que não seja o invasor. **Recomendações** Para as versões 12.1.1 a 12.1.3, atualize para uma versão fora desse intervalo para mitigar o risco. Para as versões 12.2.3 a 12.2.10, atualize para uma versão fora desse intervalo para mitigar o risco. Como solução alternativa temporária, considere restringir o acesso ao componente Marketing Administration até que um patch esteja disponível. Restrinja o acesso a dados confidenciais e implemente medidas de segurança adicionais para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas: Oracle E-Business Suite, versões 12.1.1 a 12.1.3 Oracle E-Business Suite, versões 12.2.3 a 12.2.10 Descrição: O problema está relacionado à validação insuficiente de entradas no componente de interface do usuário do Oracle Trade Management, parte do Oracle E-Business Suite. Isso pode ser explorado por um invasor remoto para obter acesso não autorizado a informações protegidas ou para modificar, adicionar ou excluir dados usando o protocolo HTTP. Ataques bem-sucedidos requerem interação humana e podem impactar significativamente outros produtos, resultando potencialmente em acesso não autorizado a dados críticos ou acesso completo a todos os dados acessíveis no Oracle Trade Management, bem como acesso não autorizado para atualizar, inserir ou excluir alguns dos dados acessíveis. Recomendações: Para as versões 12.1.1 a 12.1.3, atualize para uma versão fora desse intervalo para mitigar o risco. Para as versões 12.2.3 a 12.2.10, atualize para uma versão fora desse intervalo para mitigar o risco. Como solução alternativa temporária, considere restringir o acesso ao componente Interface do Usuário do Oracle Trade Management até que um patch esteja disponível.

**Nome do software vulnerável e versões afetadas: Oracle E-Business Suite versões 12.1.3 e 12.2.3 a 12.2.10 Descrição: O problema está relacionado à validação insuficiente de entradas no componente Flex Fields do Oracle CRM Technical Foundation. Isso permite que um invasor não autenticado com acesso à rede via HTTP comprometa o Oracle CRM Technical Foundation, levando potencialmente ao acesso não autorizado a dados críticos ou ao acesso completo a todos os dados acessíveis do Oracle CRM Technical Foundation, bem como ao acesso não autorizado para atualizar, inserir ou excluir alguns dos dados acessíveis do Oracle CRM Technical Foundation. Ataques bem-sucedidos requerem interação humana de uma pessoa que não seja o invasor. Recomendações: Para as versões 12.1.3, atualize para uma versão que inclua a correção para este problema. Para as versões 12.2.3 a 12.2.10, atualize para uma versão que inclua a correção para este problema. Como solução alternativa temporária, considere restringir o acesso ao componente Flex Fields até que um patch esteja disponível.

**Nome do software vulnerável e versões afetadas: Oracle E-Business Suite, versões 12.1.1 a 12.1.3 Oracle E-Business Suite, versões 12.2.3 a 12.2.10 Descrição: O problema está relacionado à validação insuficiente de entradas no produto Oracle Installed Base do Oracle E-Business Suite, especificamente no componente APIs. Isso pode ser explorado por um invasor não autenticado com acesso à rede via HTTP, permitindo potencialmente acesso não autorizado para atualização, inserção ou exclusão de alguns dos dados acessíveis. Ataques bem-sucedidos requerem interação humana de uma pessoa que não seja o invasor e podem impactar significativamente outros produtos. Recomendações: Para as versões 12.1.1 a 12.1.3 do Oracle E-Business Suite, atualize para uma versão fora desse intervalo para mitigar o risco. Para as versões 12.2.3 a 12.2.10 do Oracle E-Business Suite, atualize para uma versão fora desse intervalo para mitigar o risco. Como solução alternativa temporária, considere restringir o acesso ao componente APIs do produto Oracle Installed Base para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas: Oracle E-Business Suite, versões 12.1.1 a 12.1.3 Oracle E-Business Suite, versões 12.2.3 a 12.2.10 Descrição: O problema está relacionado à validação insuficiente de entradas no componente de interface do usuário do produto Oracle Trade Management. Isso pode ser explorado por um invasor remoto para obter acesso não autorizado a informações protegidas ou para modificar, adicionar ou excluir dados usando o protocolo HTTP. O ataque requer interação humana de alguém que não seja o invasor e pode impactar significativamente outros produtos, resultando em acesso não autorizado a dados críticos ou acesso completo a todos os dados acessíveis no Oracle Trade Management, bem como acesso não autorizado para atualizar, inserir ou excluir alguns dos dados acessíveis. Recomendações: Para as versões 12.1.1 a 12.1.3, atualize para uma versão fora desse intervalo para mitigar o risco. Para as versões 12.2.3 a 12.2.10, atualize para uma versão fora desse intervalo para mitigar o risco. Como solução alternativa temporária, considere restringir o acesso ao componente de interface do usuário do Oracle Trade Management até que um patch esteja disponível.

**Nome do software vulnerável e versões afetadas: Oracle E-Business Suite, versões 12.1.1 a 12.1.3 Oracle E-Business Suite, versões 12.2.3 a 12.2.10 Descrição: O problema está relacionado à validação insuficiente de entradas no componente de interface do usuário do produto Oracle Trade Management. Isso pode ser explorado por um invasor remoto para obter acesso não autorizado a informações confidenciais ou para modificar, adicionar ou excluir dados usando o protocolo HTTP. O ataque requer alguma interação de uma pessoa que não seja o invasor e pode ter impactos significativos em outros produtos além do Oracle Trade Management. Recomendações: Para as versões 12.1.1 a 12.1.3, atualize para uma versão fora desse intervalo para mitigar o risco. Para as versões 12.2.3 a 12.2.10, atualize para uma versão fora desse intervalo para mitigar o risco. Como solução alternativa temporária, considere restringir o acesso ao componente de interface do usuário do Oracle Trade Management até que um patch esteja disponível.

**Nome do software vulnerável e versões afetadas: Oracle E-Business Suite, versões 12.1.1 a 12.1.3 Oracle E-Business Suite, versões 12.2.3 a 12.2.10 Descrição: O problema está relacionado à validação insuficiente de entradas no componente de interface do usuário do produto Oracle Trade Management. Isso pode ser explorado por um invasor remoto para obter acesso não autorizado a informações confidenciais ou para modificar, adicionar ou excluir dados usando o protocolo HTTP. O ataque requer alguma interação de uma pessoa que não seja o invasor e pode ter impactos significativos em outros produtos além do Oracle Trade Management. Recomendações: Para as versões 12.1.1 a 12.1.3, atualize para uma versão fora desse intervalo para mitigar o risco. Para as versões 12.2.3 a 12.2.10, atualize para uma versão fora desse intervalo para mitigar o risco. Como solução alternativa temporária, considere restringir o acesso ao componente de interface do usuário do Oracle Trade Management para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Oracle E-Business Suite, versões 12.1.1 a 12.1.3 Oracle E-Business Suite, versões 12.2.3 a 12.2.10 **Descrição** O problema está relacionado à validação insuficiente de entradas no componente de interface do usuário do Oracle Trade Management, parte do Oracle E-Business Suite. Isso pode ser explorado por um invasor remoto para obter acesso não autorizado a informações protegidas ou para modificar, adicionar ou excluir dados usando o protocolo HTTP. Ataques bem-sucedidos requerem interação humana e podem impactar significativamente outros produtos, resultando potencialmente em acesso não autorizado a dados críticos ou acesso completo a todos os dados acessíveis no Oracle Trade Management, bem como acesso não autorizado para atualizar, inserir ou excluir alguns dos dados acessíveis. **Recomendações** Para as versões 12.1.1 a 12.1.3, atualize para uma versão fora desse intervalo para mitigar o risco. Para as versões 12.2.3 a 12.2.10, atualize para uma versão fora desse intervalo para mitigar o risco. Como solução alternativa temporária, considere restringir o acesso ao componente Interface do Usuário do Oracle Trade Management para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Oracle E-Business Suite versões 12.1.3 e 12.2.3 a 12.2.9 **Descrição** O problema está relacionado à validação insuficiente de entradas no componente CRM User Management Framework do Oracle Common Applications. Isso permite que um invasor não autenticado com acesso à rede via HTTP comprometa o Oracle Common Applications, exigindo a interação humana de uma pessoa que não seja o invasor. Ataques bem-sucedidos podem resultar em acesso não autorizado para atualizar, inserir ou excluir alguns dos dados acessíveis do Oracle Common Applications, podendo afetar outros produtos. **Recomendações** Para as versões 12.1.3 e 12.2.3 a 12.2.9, atualize para uma versão que inclua a correção para este problema. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Oracle E-Business Suite versões 12.1.3 e 12.2.3 a 12.2.9 **Descrição** O problema está relacionado à validação insuficiente de entradas no componente CRM User Management Framework do Oracle Common Applications. Isso permite que um invasor não autenticado com acesso à rede via HTTP comprometa o Oracle Common Applications, levando potencialmente a acesso não autorizado para atualizar, inserir ou excluir alguns dos dados acessíveis do Oracle Common Applications. Ataques bem-sucedidos requerem interação humana de uma pessoa que não seja o invasor e podem impactar significativamente outros produtos. **Recomendações** Para as versões 12.1.3 e 12.2.3 a 12.2.9, considere restringir o acesso ao componente CRM User Management Framework para minimizar o risco de exploração até que um patch esteja disponível. Como solução alternativa temporária, evite usar o componente vulnerável do Oracle Common Applications até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Versões do SQLite anteriores à 3.32.0 **Descrição** O problema está relacionado a um estouro de inteiro na função `sqlite3 str vappendf` em `printf.c`, que pode ser explorado para causar uma negação de serviço. **Recomendações** Para versões anteriores à 3.32.0, atualize para uma versão que inclua verificações aprimoradas para resolver o problema.

**Name of the Vulnerable Software and Affected Versions** pfSense version 2.4.4-p3 **Description** A stored XSS issue occurs due to input validation errors when attackers inject a payload into the `Name` or `Description` field via an "acme accountkeys edit.php" action. **Recommendations** For pfSense version 2.4.4-p3, as a temporary workaround, consider restricting access to the acme accountkeys edit.php action until a patch is available. At the moment, there is no information about a newer version that contains a fix for this vulnerability.