Exp1Orer

**Nome do software vulnerável e versões afetadas** Tencent Blueking CMDB, versões 3.2.x a 3.9.x **Descrição** O problema está relacionado a uma falsificação de solicitação do lado do servidor (SSRF) que afeta a função de assinatura de eventos. Isso permite que invasores acessem solicitações internas por meio de uma solicitação POST maliciosa enviada ao endpoint “/service/subscription.go”. A `função de assinatura de eventos` é o componente vulnerável, e a exploração envolve o envio de uma solicitação POST maliciosa. **Recomendações** Para as versões 3.2.x a 3.9.x, considere desativar a função de assinatura de eventos até que uma correção esteja disponível. Restrinja o acesso ao endpoint “/service/subscription.go” para minimizar o risco de exploração. Evite usar a função de assinatura de eventos no endpoint da API afetado até que o problema seja resolvido.

**Nome do software vulnerável e versões afetadas** Versões 1.10 a 1.4.1 do HummerRisk **Descrição** Uma falha no HummerRisk permite que um invasor autenticado execute código arbitrário por meio de uma solicitação maliciosa ao componente “service/LicenseService”. **Recomendações** Para as versões 1.10 a 1.4.1, considere desativar o acesso ao componente “service/LicenseService” até que uma correção esteja disponível. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.