Daniel Le Souef

**Name of the Vulnerable Software and Affected Versions** RWS WorldServer versions prior to 11.7.3 **Description** An issue was discovered in RWS WorldServer where adding a token parameter with the value of `02` bypasses all authentication requirements. This allows arbitrary Java code to be uploaded and executed via a `.jar` archive to the "ws-api/v2/customizations/api" endpoint. **Recommendations** For versions prior to 11.7.3, update to version 11.7.3 or later to resolve the issue. As a temporary workaround, consider restricting access to the "ws-api/v2/customizations/api" endpoint until a patch is available. Avoid using the `token` parameter with the value of `02` in the affected API endpoint until the issue is resolved.

**Nome do software vulnerável e versões afetadas** Oracle Hospitality OPERA 5 versão 5.5 **Descrição** A vulnerabilidade permite que um invasor não autenticado com acesso à rede via HTTP comprometa o Oracle Hospitality OPERA 5. Os ataques bem-sucedidos exigem a interação humana de uma pessoa que não seja o invasor e podem afetar significativamente outros produtos. Isso pode resultar em acesso não autorizado para atualizar, inserir ou excluir alguns dos dados acessíveis do Oracle Hospitality OPERA 5, bem como acesso não autorizado para leitura de um subconjunto dos dados acessíveis do Oracle Hospitality OPERA 5. **Recomendações** Para o Oracle Hospitality OPERA 5 versão 5.5, no momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Oracle Hospitality OPERA 5, versões 5.5 e 5.6 **Descrição** A vulnerabilidade permite que um invasor com privilégios limitados e acesso à rede via HTTP comprometa o Oracle Hospitality OPERA 5, resultando em acesso não autorizado a dados críticos ou acesso total a todos os dados acessíveis. Ataques bem-sucedidos requerem interação humana de uma pessoa que não seja o invasor e podem ser facilmente explorados. **Recomendações** Para as versões 5.5 e 5.6, atualize para uma versão que inclua uma correção para este problema, a fim de impedir o acesso não autorizado a dados críticos. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Oracle Hospitality Opera 5 versão 5.5 **Descrição** O problema está relacionado a um controle de acesso inadequado no produto Oracle Hospitality Opera 5, permitindo que um invasor remoto obtenha acesso não autorizado a informações protegidas ou modifique, adicione ou exclua dados usando o protocolo HTTP. Isso pode resultar em acesso não autorizado a dados críticos ou acesso completo a todos os dados acessíveis, bem como acesso não autorizado para atualizar, inserir ou excluir alguns dados acessíveis. **Recomendações** Para o Oracle Hospitality Opera 5 versão 5.5, atualize o software para uma versão que corrija o problema de controle de acesso inadequado. Como solução alternativa temporária, considere restringir o acesso ao componente de login para minimizar o risco de exploração. Evite usar o protocolo HTTP para operações confidenciais até que o problema seja resolvido.