Chudypb

**Nome do Software Vulnerável e Versões Afetadas** IBM Engineering Lifecycle Management versões 7.0.3 Interim Fix 001 through Interim Fix 021 IBM Engineering Lifecycle Management versões 7.1.0 Interim Fix 001 through Interim Fix 009 IBM Engineering Lifecycle Management versões 7.2.0 through 7.2.0 Interim Fix 001 **Description** Uma injeção de entidade externa XML (XXE) ocorre ao processar dados XML, que é uma técnica onde uma aplicação processa entidades externas dentro de um documento XML. Um invasor autenticado pode explorar isso para expor informações sensíveis ou consumir recursos de memória. **Recommendations** No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** IBM Engineering Lifecycle Management versões 7.0.3 até Interim Fix 021 IBM Engineering Lifecycle Management versões 7.1.0 até Interim Fix 009 IBM Engineering Lifecycle Management versões 7.2.0 até Interim Fix 001 **Descrição** Um invasor remoto não autenticado pode atualizar arquivos de propriedades do servidor, o que pode levar ao acesso não autorizado ao aplicativo. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Name of the Vulnerable Software and Affected Versions** Hyland Alfresco Transformation Service (affected versions not specified) **Description** An unauthenticated attacker can perform server-side request forgery (SSRF) via the document processing functionality. SSRF occurs when an application makes requests to an internal or external resource on behalf of a user, and an attacker can manipulate the request to access unintended resources. **Recommendations** At the moment, there is no information about a newer version that contains a fix for this vulnerability.

Nome do Software Vulnerável e Versões Afetadas Hyland Alfresco Transformation Service (versões afetadas não especificadas) Descrição O Hyland Alfresco Transformation Service contém uma vulnerabilidade que permite que atacantes não autenticados executem código remotamente. Este problema decorre de uma falha de injeção de argumentos na funcionalidade de processamento de documentos. Recomendações No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Name of the Vulnerable Software and Affected Versions** Hyland Alfresco (affected versions not specified) **Description** An unauthenticated attacker can read arbitrary files from protected directories, such as WEB-INF, by accessing the `/share/page/resource/` API endpoint. This can lead to the disclosure of sensitive configuration files. **Recommendations** At the moment, there is no information about a newer version that contains a fix for this vulnerability.

**Name of the Vulnerable Software and Affected Versions** Hyland Alfresco Transformation Service (affected versions not specified) **Description** The Hyland Alfresco Transformation Service is susceptible to exploitation allowing unauthenticated attackers to perform arbitrary file read and server-side request forgery (SSRF) through absolute path traversal. The vulnerability allows attackers to access files and potentially manipulate server-side requests. **Recommendations** At the moment, there is no information about a newer version that contains a fix for this vulnerability.

**Nome do Software Vulnerável e Versões Afetadas** Microsoft Office SharePoint (versões afetadas não especificadas) **Descrição** A validação de entrada inadequada no Microsoft Office SharePoint pode permitir que um atacante não autorizado execute código localmente. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

Nome do Software Vulnerável e Versões Afetadas: Versões do Commvault anteriores à 11.36.60 Descrição: Uma vulnerabilidade em um mecanismo de login conhecido permite que atacantes não autenticados executem chamadas de API sem exigir credenciais de usuário. O Controle de Acesso Baseado em Funções (RBAC) pode limitar a exposição, mas não elimina o risco. Recomendações: Atualize para a versão 11.36.60 ou posterior.

Nome do Software Vulnerável e Versões Afetadas: ServiceStack (versões afetadas não especificadas) Descrição: Este problema permite que atacantes remotos retransmitam credenciais NTLM em instalações afetadas do ServiceStack. A falha específica reside na implementação do método `GetErrorResponse`, decorrente da falta de validação adequada de dados fornecidos pelo usuário, o que pode levar a uma condição de confusão de tipos. Um atacante pode aproveitar isso para retransmitir credenciais NTLM no contexto do usuário atual. Recomendações: No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

Nome do Software Vulnerável e Versões Afetadas: ServiceStack (versões afetadas não especificadas) Descrição: Esta vulnerabilidade permite que atacantes remotos executem código arbitrário em instalações afetadas do ServiceStack. A falha específica reside na implementação do método `FindType`, que não possui validação adequada de um caminho fornecido pelo usuário antes de utilizá-lo em operações de arquivo. Um atacante pode explorar isso para executar código no contexto do processo atual. Recomendações: No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** Trend Micro Endpoint Encryption PolicyServer (versões afetadas não especificadas) **Descrição** O problema está relacionado a uma operação de desserialização insegura no Trend Micro Endpoint Encryption PolicyServer, o que pode levar à execução remota de código pós-autenticação nas instalações afetadas. Um atacante deve primeiro obter a capacidade de executar código de baixos privilégios no sistema alvo para explorar essa vulnerabilidade. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** Trend Micro Endpoint Encryption (versões afetadas não especificadas) **Descrição** O problema está relacionado a um bypass de autenticação, permitindo que um atacante acesse métodos principais como um administrador e modifique configurações do produto nas instalações afetadas. **Recomendações** Até o momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** Trend Micro Endpoint Encryption (versões afetadas não especificadas) **Descrição** Uma vulnerabilidade de injeção de SQL pós-autenticação poderia permitir que um atacante escalonasse privilégios nas instalações afetadas. O atacante deve primeiro obter a capacidade de executar código com privilégios baixos no sistema alvo para explorar essa vulnerabilidade. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** Trend Micro Endpoint Encryption (versões afetadas não especificadas) **Descrição** O problema está relacionado a uma operação de desserialização insegura no PolicyServer do Trend Micro Endpoint Encryption, o que poderia levar a uma execução remota de código pré-autenticação nas instalações afetadas. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** Trend Micro Endpoint Encryption (versões afetadas não especificadas) **Descrição** Uma vulnerabilidade de injeção de SQL pós-autenticação pode permitir que um atacante escale privilégios em instalações afetadas. Isso requer que o atacante primeiro obtenha a capacidade de executar código com baixos privilégios no sistema alvo. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** Progress Telerik UI for AJAX versões 2011.2.712 até 2025.1.218 **Descrição** Existe um problema de reflexão insegura no Progress Telerik UI for AJAX. Esta falha pode levar a uma exceção não tratada, potencialmente causando uma queda do processo hospedeiro e resultando em uma negação de serviço. Relatos indicam que este problema afeta milhões de aplicações corporativas em todo o mundo. A exploração pode ser realizada com uma única solicitação HTTP e, em alguns casos, pode levar à execução remota de código quando combinada com outras vulnerabilidades. A vulnerabilidade está relacionada à reflexão insegura, uma técnica de programação onde uma aplicação usa informações de tempo de execução para examinar ou modificar sua própria estrutura e comportamento. **Recomendações** Atualize para uma versão superior a 2025.1.218. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** Trend Micro Apex Central versões anteriores à 8.0.7007 **Descrição** O problema está relacionado a uma operação de desserialização insegura, o que poderia levar à execução remota de código antes da autenticação nas instalações afetadas. Esta vulnerabilidade é semelhante a outro problema, mas afeta um método diferente. **Recomendações** Para versões anteriores à 8.0.7007, atualize para a versão 8.0.7007 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso ao método de desserialização `ConvertFromJson` até que um patch esteja disponível.

Name of the Vulnerable Software and Affected Versions: Mescius ActiveReports.NET (affected versions not specified) Description: The issue concerns a deserialization of untrusted data remote code execution vulnerability in the TypeResolutionService. This allows for remote code execution. The estimated number of potentially affected devices worldwide is not available. There is no information about real-world incidents where this issue was exploited. Recommendations: At the moment, there is no information about a newer version that contains a fix for this vulnerability.

**Nome do Software Vulnerável e Versões Afetadas** Versões do Trend Micro Endpoint Encryption anteriores à 6.0.0.4013 **Descrição** Uma operação de desserialização insegura no PolicyServer do Trend Micro Endpoint Encryption pode levar a uma execução remota de código sem autenticação nas instalações afetadas. O problema está relacionado à desserialização de dados não confiáveis, que pode ser explorada para executar código remotamente sem autenticação. Esta vulnerabilidade está sendo ativamente explorada. **Recomendações** Para resolver o problema, atualize o Trend Micro Endpoint Encryption para a versão 6.0.0.4013 ou posterior. Como solução alternativa temporária, considere restringir o acesso ao PolicyServer para minimizar o risco de exploração. Evite usar o método `DeserializeFromBase64String` no PolicyServer afetado até que o problema seja resolvido.

**Name of the Vulnerable Software and Affected Versions** Trend Micro Endpoint Encryption (TMEE) (affected versions not specified) **Description** The issue is related to insufficient input validation in the PolicyServerWindowsService class of the Trend Micro Endpoint Encryption (TMEE) PolicyServer data encryption tool. This can be exploited by a remote attacker to execute arbitrary code. The vulnerability involves deserialization of untrusted data, which can lead to remote code execution. **Recommendations** At the moment, there is no information about a newer version that contains a fix for this vulnerability.