Gaogaostone

**Nome do software vulnerável e versões afetadas** didi Super-Jacoco versão 1.0 **Descrição** Foi identificada uma falha crítica no software, afetando uma funcionalidade desconhecida do arquivo /cov/triggerUnitCover. A manipulação do argumento `uuid` leva à injeção de comandos no sistema operacional. Essa falha pode ser explorada remotamente, permitindo potencialmente o controle total do sistema. A exploração já foi divulgada publicamente. **Recomendações** Para o didi Super-Jacoco versão 1.0, aplique a correção imediatamente para impedir a injeção de comandos do sistema operacional (OS) por meio do parâmetro `uuid` no arquivo /cov/triggerUnitCover. Como solução temporária, considere restringir o acesso ao arquivo /cov/triggerUnitCover até que uma correção esteja disponível. Verifique se não houve acesso não autorizado ao sistema.

**Nome do software vulnerável e versões afetadas** knightliao Disconf versão 2.6.36 **Descrição** Foi identificada uma falha crítica que afeta uma parte desconhecida do arquivo `/api/config/list` do componente Configuration Center. Isso leva a uma autenticação incorreta e pode ser explorado remotamente. A exploração já foi divulgada publicamente e pode estar em uso. **Recomendações** Para a versão 2.6.36, considere desativar o acesso ao endpoint `/api/config/list` até que um patch esteja disponível. Restrinja o acesso ao componente Configuration Center para minimizar o risco de exploração. Evite usar esta versão até que uma versão corrigida seja lançada. No momento, não há informações sobre uma versão mais recente que contenha uma correção para este problema.

**Nome do software vulnerável e versões afetadas** didi Super-Jacoco versão 1.0 **Descrição** Foi identificada uma falha crítica que afeta código desconhecido no arquivo /cov/triggerEnvCov. A manipulação do argumento `uuid` leva à injeção de comando. Essa falha pode ser explorada remotamente. **Recomendações** Para o didi Super-Jacoco versão 1.0, como solução temporária, considere restringir o acesso ao arquivo /cov/triggerEnvCov para minimizar o risco de exploração. Evite usar o argumento `uuid` no endpoint afetado até que a falha seja resolvida. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** didi DDMQ versão 1.0 **Descrição** Foi encontrada uma vulnerabilidade crítica no componente Console Module do didi DDMQ, afetando uma funcionalidade desconhecida. A manipulação da entrada `/;login` leva a uma autenticação incorreta. Esta falha pode ser explorada remotamente. O fornecedor foi contatado sobre esta divulgação, mas não respondeu. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** jsbroks COCO Annotator versão 0.11.1 **Descrição** Foi encontrada uma vulnerabilidade problemática no componente Session Handler do jsbroks COCO Annotator. A manipulação do argumento `SECRET KEY` leva a um estado previsível a partir de um estado observável. Esta vulnerabilidade pode ser explorada remotamente, com uma complexidade de ataque bastante alta e dificuldade de exploração. A exploração foi divulgada ao público e pode ser utilizada. **Recomendações** Para o jsbroks COCO Annotator versão 0.11.1, como solução temporária, considere restringir o acesso ao componente Session Handler até que um patch esteja disponível. Evite usar o argumento `SECRET KEY` no componente afetado para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Name of the Vulnerable Software and Affected Versions** didi KnowSearch versions 0.3.1.2 through 0.3.2 **Description** A vulnerability was found in didi KnowSearch, affecting some unknown processing of the file "/api/es/admin/v3/security/user/1". This issue leads to unprotected storage of credentials. The attack may be initiated remotely. **Recommendations** For didi KnowSearch versions 0.3.1.2 through 0.3.2, consider restricting access to the "/api/es/admin/v3/security/user/1" API endpoint to minimize the risk of exploitation. As a temporary workaround, avoid using sensitive credentials with the affected system until a patch is available. At the moment, there is no information about a newer version that contains a fix for this vulnerability.

**Name of the Vulnerable Software and Affected Versions** KnowStreaming version 3.3.0 **Description** The issue allows unauthorized users to create a new user with an admin role, leading to Escalation of Privileges. **Recommendations** For KnowStreaming version 3.3.0, update to a version that fixes the Escalation of Privileges issue. As a temporary workaround, consider restricting the ability to create new users with admin roles until a patch is available.