George Mathias

**Nome do software vulnerável e versões afetadas** Versões do Softing TH SCOPE anteriores à 3.71 **Descrição** A vulnerabilidade permite o cross-site scripting (XSS), um tipo de ataque em que um invasor pode injetar scripts maliciosos em um site, o que pode permitir que ele roube dados do usuário ou assuma o controle da sessão do usuário. **Recomendações** Para versões anteriores à 3.71, atualize para uma versão que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** OpenText AppBuilder, versões 21.2 a 23.2 **Descrição** A vulnerabilidade permite que um usuário, autenticado ou não, explore uma página do AppBuilder para ler arquivos arbitrários no servidor. Isso ocorre devido a uma validação inadequada de entradas, tornando arquivos ou diretórios acessíveis a terceiros. **Recomendações** Para as versões 21.2 a 23.2, atualize para a versão 23.2 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso a arquivos e diretórios confidenciais no servidor até que um patch seja aplicado.

**Nome do software vulnerável e versões afetadas** OpenText AppBuilder, versões 21.2 a 23.2 **Descrição** O problema está relacionado à validação inadequada de entradas na funcionalidade Scheduler do OpenText AppBuilder, o que permite que usuários autenticados injetem comandos arbitrários do sistema operacional no processo em execução. Isso possibilita a injeção de comandos do sistema operacional. **Recomendações** Para as versões 21.2 a 23.2, atualize para a versão 23.2 ou posterior para resolver o problema. Como solução alternativa temporária, considere restringir o acesso à funcionalidade Scheduler para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** OpenText AppBuilder, versões 21.2 a 23.2 **Descrição** O problema está relacionado a uma vulnerabilidade de restrição inadequada de referência a entidade externa XML no OpenText AppBuilder, permitindo a falsificação de solicitação do lado do servidor (SSRF) e possibilitando que um invasor examine arquivos do sistema. Isso ocorre porque o processador XML do AppBuilder é vulnerável ao processamento de entidade externa XML (XXE), o que permite que um usuário autenticado envie arquivos XML especialmente criados. Esses arquivos podem induzir a falsificação de solicitação do lado do servidor e divulgar arquivos locais do servidor que os processa. **Recomendações** Para as versões 21.2 a 23.2 do OpenText AppBuilder, atualize para a versão 23.2 ou posterior para resolver o problema. Como solução alternativa temporária, considere restringir o upload de arquivos XML ou desativar o processador XML até que um patch esteja disponível. Restrinja o acesso a arquivos sensíveis do sistema para minimizar o risco de exploração. Evite usar o processador XML vulnerável nas versões afetadas do AppBuilder até que o problema seja resolvido.

**Nome do software vulnerável e versões afetadas** OpenText AppBuilder, versões 21.2 a 23.2 **Descrição** O problema está relacionado a uma validação inadequada de entradas, permitindo que um usuário autenticado com privilégios de criação ou gerenciamento de bancos de dados explore o servidor AppBuilder. Essa exploração pode resultar no acesso ao sistema de arquivos local do servidor. **Recomendações** Para as versões 21.2 a 23.2, atualize para a versão 23.2 ou posterior para resolver o problema. Como solução alternativa temporária, considere restringir o acesso aos recursos de criação e gerenciamento de bancos de dados para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** OpenText AppBuilder, versões 21.2 a 23.2 **Descrição** O problema está relacionado à validação inadequada de entradas, permitindo que usuários não autenticados visualizem os arquivos de configuração do AppBuilder. Isso possibilita a exploração dos arquivos do sistema. **Recomendações** Para as versões 21.2 a 23.2, atualize para a versão 23.2 ou posterior para resolver o problema. Como solução alternativa temporária, considere restringir o acesso aos arquivos de configuração do AppBuilder até que um patch esteja disponível.

**Name of the Vulnerable Software and Affected Versions** IBM API Connect V10 **Description** The issue allows an authenticated user to perform actions that they should not have access to. **Recommendations** For IBM API Connect V10, at the moment, there is no information about a newer version that contains a fix for this issue.