Corentin Bayet

**Nome do software vulnerável e versões afetadas** Versões do QNAP QTS anteriores à 5.1.9.2954 build 20241120 Versões do QNAP QTS anteriores à 5.2.2.2950 build 20241114 Versões do QNAP QuTS hero anteriores à h5.1.9.2954 build 20241120 Versões do QNAP QuTS hero anteriores à h5.2.2.2952 build 20241116 **Descrição** Foi relatada uma vulnerabilidade de autenticação inadequada que afeta várias versões do sistema operacional QNAP. Se explorada, a vulnerabilidade poderia permitir que invasores remotos comprometessem a segurança do sistema. **Recomendações** Para versões do QNAP QTS anteriores à 5.1.9.2954 build 20241120, atualize para o QTS 5.1.9.2954 build 20241120 ou posterior. Para versões do QNAP QTS anteriores à 5.2.2.2950 build 20241114, atualize para o QTS 5.2.2.2950 build 20241114 ou posterior. Para versões do QNAP QuTS hero anteriores à h5.1.9.2954 build 20241120, atualize para o QuTS hero h5.1.9.2954 build 20241120 ou posterior. Para versões do QNAP QuTS hero anteriores à h5.2.2.2952 build 20241116, atualize para o QuTS hero h5.2.2.2952 build 20241116 ou posterior.

Nome do software vulnerável e versões afetadas: Versões do Oracle VM VirtualBox anteriores à 7.0.16 Descrição: O problema está relacionado ao uso de memória após ela ter sido liberada, o que pode permitir que um invasor divulgue informações protegidas. Um invasor com privilégios limitados e acesso de logon à infraestrutura onde o Oracle VM VirtualBox é executado pode explorar essa vulnerabilidade para comprometer o Oracle VM VirtualBox. Ataques bem-sucedidos podem resultar em acesso não autorizado a dados críticos ou acesso completo a todos os dados acessíveis pelo Oracle VM VirtualBox. Recomendações: Para versões anteriores à 7.0.16, atualize para a versão 7.0.16 ou posterior para resolver o problema. No momento, não há informações sobre medidas de mitigação adicionais.

**Nome do software vulnerável e versões afetadas** Versões do Oracle VM VirtualBox anteriores à 7.0.16 **Descrição** O problema está relacionado a uma vulnerabilidade de estouro de buffer no componente Core do Oracle VM VirtualBox, que pode ser explorada para executar código arbitrário e elevar privilégios. Essa vulnerabilidade pode ser facilmente explorada por um invasor com privilégios limitados que tenha acesso de logon à infraestrutura onde o Oracle VM VirtualBox é executado, podendo levar ao comprometimento do Oracle VM VirtualBox e afetar outros produtos. **Recomendações** Para versões anteriores à 7.0.16, atualize para a versão 7.0.16 ou posterior para resolver o problema. Como solução alternativa temporária, considere restringir o acesso ao componente Core vulnerável até que um patch seja aplicado.

**Name of the Vulnerable Software and Affected Versions** Netatalk (affected versions not specified) **Description** This issue allows remote attackers to execute arbitrary code on affected installations of Netatalk. Authentication is not required to exploit this issue. The specific flaw exists within the `dsi writeinit` function. The issue results from the lack of proper validation of the length of user-supplied data prior to copying it to a fixed-length heap-based buffer. An attacker can leverage this issue to execute code in the context of root. **Recommendations** At the moment, there is no information about a newer version that contains a fix for this issue.

**Nome do software vulnerável e versões afetadas** SMB e AFP (versões afetadas não especificadas) **Descrição** A combinação de primitivas oferecidas pelo SMB e pelo AFP em sua configuração padrão permite a gravação arbitrária de arquivos. Ao explorar essa combinação de primitivas, um invasor pode executar código arbitrário. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Versões do VMware ESXi 7.0 anteriores à ESXi 7.0.0-1.20.16321839 Versões do VMware ESXi 6.7 anteriores à ESXi670-202004101-SG Versões do VMware ESXi 6.5 anteriores à ESXi650-202005401-SG Versões do VMware Workstation 15.x anteriores à 15.5.5 Versões do VMware Fusion 11.x anteriores à 11.5.5 **Descrição** O problema está relacionado a uma vulnerabilidade de estouro de pilha “off-by-one” no dispositivo SVGA, que pode ser explorada por um agente mal-intencionado com acesso local a uma máquina virtual com gráficos 3D habilitados, permitindo potencialmente a execução de código no hipervisor a partir de uma máquina virtual. A exploração requer condições adicionais além do controle do invasor. A vulnerabilidade também é descrita como um estouro de buffer na memória dinâmica durante o processamento de comandos SVGA3D. **Recomendações** Para as versões 7.0 do VMware ESXi anteriores à ESXi 7.0.0-1.20.16321839, atualize para uma versão que inclua a correção ESXi 7.0.0-1.20.16321839 ou posterior. Para versões do VMware ESXi 6.7 anteriores à ESXi670-202004101-SG, aplique o patch ESXi670-202004101-SG ou posterior. Para versões do VMware ESXi 6.5 anteriores ao ESXi650-202005401-SG, aplique o patch ESXi650-202005401-SG ou posterior. Para versões do VMware Workstation 15.x anteriores à 15.5.5, atualize para a versão 15.5.5 ou posterior. Para versões do VMware Fusion 11.x anteriores à 11.5.5, atualize para a versão 11.5.5 ou posterior.

**Nome do software vulnerável e versões afetadas** Versões do VMware ESXi 7.0 anteriores à ESXi 7.0.0-1.20.16321839 Versões do VMware ESXi 6.7 anteriores à ESXi670-202004101-SG Versões do VMware ESXi 6.5 anteriores à ESXi650-202005401-SG Versões do VMware Workstation 15.x anteriores à 15.5.5 Versões do VMware Fusion 11.x anteriores à 11.5.5 **Descrição** O problema está relacionado a uma vulnerabilidade de uso após liberação (use-after-free) no dispositivo SVGA, especificamente ao processar o comando SVGA DXInvalidateContext. Essa vulnerabilidade pode ser explorada por um agente mal-intencionado com acesso local a uma máquina virtual que tenha gráficos 3D habilitados, permitindo potencialmente que ele execute código no hipervisor a partir da máquina virtual. **Recomendações** Para as versões do VMware ESXi 7.0 anteriores à ESXi 7.0.0-1.20.16321839, atualize para a ESXi 7.0.0-1.20.16321839 ou posterior. Para as versões 6.7 do VMware ESXi anteriores à ESXi670-202004101-SG, aplique o patch ESXi670-202004101-SG. Para as versões 6.5 do VMware ESXi anteriores à ESXi650-202005401-SG, aplique o patch ESXi650-202005401-SG. Para as versões 15.x do VMware Workstation anteriores à 15.5.5, atualize para a versão 15.5.5 ou posterior. Para as versões 11.x do VMware Fusion anteriores à 11.5.5, atualize para a versão 11.5.5 ou posterior.