Dor Tumarkin

**Nome do software vulnerável e versões afetadas** Versões 8.8.x do Drupal Core anteriores à 8.8.10 Versões 8.9.x do Drupal Core anteriores à 8.9.6 Versões 9.0.x do Drupal Core anteriores à 9.0.6 **Descrição** O problema está relacionado a uma vulnerabilidade de Cross-site Scripting (XSS) no ckeditor do Drupal Core, permitindo que um invasor injete XSS. Essa vulnerabilidade pode ser explorada por um invasor remoto para realizar ataques de cross-site scripting. **Recomendações** Para as versões 8.8.x do Drupal Core anteriores à 8.8.10, atualize para a versão 8.8.10 ou posterior. Para as versões 8.9.x do Drupal Core anteriores à 8.9.6, atualize para a versão 8.9.6 ou posterior. Para as versões 9.0.x do Drupal Core anteriores à 9.0.6, atualize para a versão 9.0.6 ou posterior.

**Nome do software vulnerável e versões afetadas** Drupal Core (versões afetadas não especificadas) **Descrição** O problema está relacionado à autenticação insuficiente de solicitações executadas no sistema CMS Drupal. Ele pode ser explorado por um invasor remoto para executar código arbitrário. Além disso, existe uma vulnerabilidade de falsificação de solicitação entre sites (Cross Site Request Forgery) na API de formulários do Drupal Core, que não lida adequadamente com certas entradas de formulário provenientes de solicitações entre sites, o que pode levar a outras vulnerabilidades. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Versões 2.5.x do Apache Dubbo Versões 2.6.0 a 2.6.7 do Apache Dubbo Versões 2.7.0 a 2.7.4 do Apache Dubbo **Descrição** Ocorre uma deserialização insegura dentro de um aplicativo Dubbo que tenha o HTTP remoting habilitado. Um invasor pode enviar uma solicitação POST contendo um objeto Java para comprometer completamente uma instância do Provider do Apache Dubbo, caso essa instância tenha o HTTP habilitado. **Recomendações** Para as versões 2.5.x do Apache Dubbo, considere desabilitar o HTTP remoting para impedir a exploração até que um patch esteja disponível. Para as versões 2.6.0 a 2.6.7 do Apache Dubbo, considere desativar o HTTP remoting para evitar a exploração até que um patch esteja disponível. Para as versões 2.7.0 a 2.7.4 do Apache Dubbo, considere desativar o HTTP remoting para evitar a exploração até que um patch esteja disponível. Como solução alternativa temporária, considere restringir o acesso ao endpoint HTTP para minimizar o risco de exploração.