Gerardo Iglesias

**Name of the Vulnerable Software and Affected Versions** NATS nats-server versions 2.2.0 through 2.7.4 **Description** The issue allows directory traversal due to an unintended path to a management action from a management account. This is caused by an unintended path in the management account of the NATS nats-server. **Recommendations** For versions 2.2.0 through 2.7.4, update to a version that fixes the directory traversal issue. At the moment, there is no information about a newer version that contains a fix for this vulnerability.

**Nome do software vulnerável e versões afetadas** Versões do NATS Server anteriores à 2.7.2 Versões do NATS Streaming Server anteriores à 0.24.1 **Descrição** O problema está relacionado a um controle de acesso incorreto no NATS nats-server, onde qualquer usuário autenticado pode obter os privilégios da conta do sistema ao fazer uso indevido do recurso de “contas sandbox provisionadas dinamicamente”. Isso se deve a um erro de codificação em um recurso experimental que permitia que os clientes se autenticassem em qualquer conta. Um cliente pode manipular o handshake inicial no nível do protocolo para alternar para qualquer outra conta, incluindo a conta do sistema, que controla as operações centrais do nats-server. Para implantações que não utilizam multilocação, usuários normais podem optar por acessar a conta do sistema. **Recomendações** Para versões do NATS Server anteriores à 2.7.2, atualize para a versão 2.7.2 ou posterior. Para versões do NATS Streaming Server anteriores à 0.24.1, atualize para a versão 0.24.1 ou posterior.

**Nome do software vulnerável e versões afetadas** Avaya Aura Device Services, versões 7.0 a 8.1.4.0 **Descrição** Foi detectada uma vulnerabilidade de execução de código arbitrário no Avaya Aura Device Services, que poderia permitir que um usuário local executasse scripts especialmente criados para esse fim. A vulnerabilidade está relacionada à criação de arquivos temporários com permissões inseguras. **Recomendações** Para as versões 7.0 a 8.1.4.0, atualize para uma versão que contenha uma correção para este problema. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Avaya Aura Appliance Virtualization Platform Utilities (AVPU), versões 8.0.0.0 a 8.1.3.1 **Descrição** Foi detectada uma falha de divulgação de informações no gerenciamento de diretórios e arquivos do AVPU, que pode permitir que qualquer usuário local acesse funcionalidades do sistema e informações de configuração que deveriam estar disponíveis apenas para usuários com privilégios. **Recomendações** Para as versões 8.0.0.0 a 8.1.3.1, atualize para uma versão que contenha uma correção para este problema, a fim de impedir o acesso não autorizado às funcionalidades do sistema e às informações de configuração.

**Nome do software vulnerável e versões afetadas** Avaya Aura Appliance Virtualization Platform Utilities (AVPU), versões 8.0.0.0 a 8.1.3.1 **Descrição** Foi descoberta uma falha de escalonamento de privilégios que pode permitir que um usuário local obtenha privilégios superiores. **Recomendações** Para as versões 8.0.0.0 a 8.1.3.1, no momento, não há informações sobre uma versão mais recente que contenha uma correção para essa falha.