Damian Bury

**Nome do software vulnerável e versões afetadas: Versões do Wildfly anteriores à 23.0.2.Final Descrição: Foi identificada uma falha no Wildfly durante a criação de uma nova função no modo de domínio por meio do console de administração, permitindo que uma carga maliciosa fosse adicionada no campo `name`, levando a um ataque XSS. Isso afeta a confidencialidade e a integridade. Recomendações: Para versões anteriores à 23.0.2.Final, atualize para a versão 23.0.2.Final ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso ao console de administração para minimizar o risco de exploração. Evite usar o campo `name` no processo de criação de funções até que o problema seja resolvido.

**Nome do software vulnerável e versões afetadas** Oracle Financial Services Analytical Applications Infrastructure, versões 8.0.6 a 8.1.0 **Descrição** O problema está relacionado à validação insuficiente de entradas no componente Rules Framework. Isso permite que um invasor não autenticado com acesso à rede via HTTP comprometa a Oracle Financial Services Analytical Applications Infrastructure. Ataques bem-sucedidos exigem interação humana de uma pessoa que não seja o invasor e podem impactar significativamente outros produtos. Isso pode resultar em acesso não autorizado para atualização, inserção ou exclusão de alguns dados, bem como acesso não autorizado para leitura de um subconjunto de dados. **Recomendações** Para as versões 8.0.6 a 8.1.0, considere restringir o acesso ao componente Rules Framework para minimizar o risco de exploração até que um patch esteja disponível. Como solução alternativa temporária, limite o uso de solicitações HTTP à infraestrutura afetada. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Oracle Hyperion BI+ versão 11.1.2.4 **Descrição** O problema está relacionado à validação insuficiente de entradas no componente de serviço IQR-Foundation do Oracle Hyperion BI+. Isso permite que um invasor com privilégios elevados e acesso à rede por meio de vários protocolos comprometa o Hyperion BI+, resultando em acesso de leitura não autorizado a um subconjunto de dados acessíveis do Hyperion BI+. Ataques bem-sucedidos requerem interação humana de uma pessoa que não seja o invasor. **Recomendações** Para a versão 11.1.2.4, considere restringir o acesso ao componente de serviço IQR-Foundation para minimizar o risco de exploração até que um patch esteja disponível. Como solução alternativa temporária, limite o uso do serviço afetado para reduzir o impacto potencial do problema. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Oracle Hyperion BI+ versão 11.1.2.4 **Descrição** O problema está relacionado à validação insuficiente de entradas no componente de serviço IQR-Foundation do Oracle Hyperion BI+. Isso permite que um invasor com privilégios elevados e acesso à rede por meio de vários protocolos, incluindo HTTP, comprometa o Hyperion BI+. Ataques bem-sucedidos exigem interação humana de uma pessoa que não seja o invasor e podem resultar em acesso não autorizado a dados críticos ou acesso completo a todos os dados acessíveis pelo Hyperion BI+. **Recomendações** Para a versão 11.1.2.4, no momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas: Oracle Hyperion Financial Close Management versão 11.1.2.4 Descrição: A vulnerabilidade existe devido à validação insuficiente de entradas no componente Close Manager do Oracle Hyperion Financial Close Management. A exploração dessa vulnerabilidade pode permitir que um invasor remoto modifique, adicione ou exclua dados. A vulnerabilidade é difícil de explorar e requer privilégios elevados, bem como a interação humana de alguém que não seja o invasor. Ataques bem-sucedidos podem resultar em acesso não autorizado a dados críticos ou a todos os dados acessíveis no Hyperion Financial Close Management. Recomendações: Para a versão 11.1.2.4, no momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Oracle Hyperion Financial Reporting, versão 11.1.2.4 **Descrição** O problema está relacionado a um controle de acesso insuficiente no componente Web Based Report Designer do Oracle Hyperion Financial Reporting. Isso permite que um invasor remoto obtenha acesso não autorizado a informações protegidas por meio do protocolo HTTP. O ataque requer interação humana de alguém que não seja o invasor e pode resultar em acesso de leitura não autorizado a um subconjunto de dados acessíveis do Hyperion Financial Reporting. **Recomendações** Para a versão 11.1.2.4, considere restringir o acesso ao componente Web Based Report Designer para minimizar o risco de exploração até que uma correção esteja disponível. Como solução alternativa temporária, limite o uso do protocolo HTTP para acessar informações confidenciais dentro do produto Hyperion Financial Reporting.

**Nome do software vulnerável e versões afetadas** Versões do PHP 7.2.x a 7.2.29 Versões do PHP 7.3.x a 7.3.16 Versões do PHP 7.4.x a 7.4.4 **Descrição** O problema está relacionado à função `urldecode()` no PHP, que pode ser explorada para acessar locais de memória além do buffer alocado devido ao uso incorreto de números assinados como índices de matriz. Isso pode permitir que um invasor remoto acesse informações protegidas. A vulnerabilidade é particularmente relevante quando o PHP é compilado com suporte a EBCDIC, embora essa seja uma configuração incomum. **Recomendações** Para as versões do PHP 7.2.x a 7.2.29, atualize para a versão 7.2.30 ou posterior. Para as versões do PHP 7.3.x a 7.3.16, atualize para a versão 7.3.17 ou posterior. Para as versões do PHP 7.4.x a 7.4.4, atualize para a versão 7.4.5 ou posterior.

**Nome do software vulnerável e versões afetadas** Oracle Hyperion Financial Management versão 11.1.2.4 **Descrição** O problema está relacionado a um controle de acesso insuficiente no componente de segurança do Oracle Hyperion Financial Management. Isso permite que um invasor remoto modifique, adicione ou exclua dados usando o protocolo HTTP. A exploração requer privilégios elevados e interação humana de alguém que não seja o invasor, podendo levar ao acesso não autorizado a dados críticos. **Recomendações** Para a versão 11.1.2.4, considere restringir o acesso ao componente de Segurança até que uma correção esteja disponível. Como solução temporária, limite o acesso à rede via HTTP para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.