Filipe Bernardo

**Nome do software vulnerável e versões afetadas: HPE Storage Essentials versão 9.5.0.142 Descrição: O problema envolve uma falha de deserialização Java sem autenticação, permitindo a execução remota de código por meio de comandos do sistema operacional em uma solicitação ao endpoint “invoker/JMXInvokerServlet”. Isso permite que um invasor execute comandos remotamente sem autenticação. Recomendações: Para o HPE Storage Essentials versão 9.5.0.142, considere restringir o acesso ao endpoint “invoker/JMXInvokerServlet” até que uma correção esteja disponível. Como solução alternativa temporária, desativar a funcionalidade de deserialização Java para este endpoint pode ajudar a minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Name of the Vulnerable Software and Affected Versions** VASCO DIGIPASS authentication plug-in for Citrix Web Interface (affected versions not specified) **Description** The issue is related to a cross-site scripting (XSS) vulnerability. This vulnerability allows remote attackers to inject arbitrary web script or HTML via the `failmessage` parameter in the sample feedback.inc file. **Recommendations** At the moment, there is no information about a newer version that contains a fix for this vulnerability.