Gggggggga

**Nome do Software Vulnerável e Versões Afetadas** Apache ActiveMQ Broker versões anteriores a 5.19.6 Apache ActiveMQ Broker versões 6.0.0 a 6.2.4 Apache ActiveMQ All versões anteriores a 5.19.6 Apache ActiveMQ All versões 6.0.0 a 6.2.4 Apache ActiveMQ versões anteriores a 5.19.6 Apache ActiveMQ versões 6.0.0 a 6.2.4 **Description** A validação inadequada de entrada e o controle impróprio da geração de código permitem que um invasor autenticado execute código remotamente na JVM do broker. Se o módulo `activemq-http` estiver no classpath, um invasor pode usar o Jolokia para adicionar um conector via `BrokerView.addNetworkConnector()` ou `BrokerView.addConnector()` utilizando um transporte de Descoberta HTTP. Um endpoint HTTP malicioso pode retornar um transporte VM através da URI HTTP, ignorando as validações existentes. O invasor pode então utilizar o parâmetro `brokerConfig` do transporte VM para carregar um contexto de aplicação Spring XML remoto via `ResourceXmlApplicationContext`. Como o `ResourceXmlApplicationContext` instancia todos os beans singleton antes que o `BrokerService` valide a configuração, a execução de código arbitrário ocorre através de métodos de fábrica de beans, como `Runtime.exec()`. **Recommendations** Atualizar o Apache ActiveMQ Broker versões anteriores a 5.19.6 para a versão 5.19.6. Atualizar o Apache ActiveMQ Broker versões 6.0.0 a 6.2.4 para a versão 6.2.5. Atualizar o Apache ActiveMQ All versões anteriores a 5.19.6 para a versão 5.19.6. Atualizar o Apache ActiveMQ All versões 6.0.0 a 6.2.4 para a versão 6.2.5. Atualizar o Apache ActiveMQ versões anteriores a 5.19.6 para a versão 5.19.6. Atualizar o Apache ActiveMQ versões 6.0.0 a 6.2.4 para a versão 6.2.5.

**Nome do software vulnerável e versões afetadas** running-elephant Datart versão 1.0.0-rc3 **Descrição** Uma vulnerabilidade crítica afeta a função `extractModel` do componente File Upload, especificamente no arquivo `/import`. A manipulação do argumento `file` leva à deserialização. Essa vulnerabilidade pode ser explorada remotamente. A exploração foi divulgada publicamente, e o fornecedor foi notificado, mas não respondeu. **Recomendações** Para o running-elephant Datart versão 1.0.0-rc3, como solução temporária, considere desativar a função `extractModel` até que um patch esteja disponível. Restrinja o acesso ao componente File Upload para minimizar o risco de exploração. Evite usar o argumento `file` no endpoint `/import` afetado até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.