Francesco Giordano

**Nome do software vulnerável e versões afetadas** Oracle GlassFish Server versões 3.1.2.18 e anteriores **Descrição** A vulnerabilidade permite que um usuário mal-intencionado faça com que um usuário administrador forneça conteúdo perigoso à página vulnerável, que é então refletido de volta ao usuário e executado pelo navegador da web. O mecanismo mais comum para entregar conteúdo malicioso é incluí-lo como um parâmetro em uma URL publicada publicamente ou enviada diretamente por e-mail às vítimas. Esta vulnerabilidade afeta apenas produtos que não são mais suportados pelo mantenedor. **Recomendações** Para as versões 3.1.2.18 e anteriores do Oracle GlassFish Server, considere desativar o acesso à página /common/logViewer/logViewer.jsf como uma solução temporária até que uma correção seja determinada, observando que essas versões não são mais suportadas. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Versões do Wowza Streaming Engine anteriores à 4.8.8.01 **Descrição** O problema diz respeito às senhas em texto simples armazenadas no arquivo conf/admin.password em uma instalação padrão. Um usuário local comum pode ler nomes de usuário e senhas. **Recomendações** Para versões anteriores à 4.8.8.01, atualize para a versão 4.8.8.01 ou posterior para resolver o problema. Como solução alternativa temporária, considere restringir o acesso ao arquivo conf/admin.password para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Versões do Wowza Streaming Engine até a 4.8.5 **Descrição** O problema diz respeito a permissões incorretas dos arquivos de configuração no diretório conf/. Um usuário local comum pode ler e gravar em todos os arquivos de configuração, o que permite que ele modifique a configuração do servidor de aplicativos. **Recomendações** Para as versões do Wowza Streaming Engine até a 4.8.5, atualize as permissões dos arquivos de configuração no diretório conf/ para restringir o acesso apenas a usuários autorizados. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Versões do Wowza Streaming Engine anteriores à 4.8.5 **Descrição** A vulnerabilidade permite que um usuário autenticado com acesso à edição de licenças de proxy insira um código malicioso que será executado na página principal das configurações do servidor. Trata-se de um caso de XSS. A vulnerabilidade foi corrigida no Wowza Streaming Engine 4.8.5. **Recomendações** Para versões anteriores à 4.8.5, atualize para o Wowza Streaming Engine 4.8.5 para resolver o problema. Como solução alternativa temporária, considere restringir o acesso ao recurso de edição de licenças de proxy para minimizar o risco de exploração.

**Name of the Vulnerable Software and Affected Versions** Cisco Adaptive Security Appliance (ASA) (affected versions not specified) **Description** The issue is related to the smart tunnel functionality of Cisco Adaptive Security Appliance (ASA) and is associated with insufficient access control. It could allow an authenticated, local attacker to elevate privileges to the root user or load a malicious library file while the tunnel is being established. **Recommendations** At the moment, there is no information about a newer version that contains a fix for this vulnerability.