Giovanni Delvecchio

**Nome do software vulnerável e versões afetadas** AVEVA InTouch Access Anywhere (versões afetadas não especificadas) Plant SCADA Access Anywhere (versões afetadas não especificadas) **Descrição** O problema está relacionado à divulgação de informações em uma área de dados de erro, que pode ser explorada por um invasor remoto para executar comandos arbitrários do sistema operacional. Quando a funcionalidade da barra de idiomas do sistema operacional Windows está ativada, ela pode ser manipulada para iniciar um prompt de comando do sistema operacional, resultando em uma fuga de contexto do aplicativo para o sistema operacional. Isso pode ocorrer quando a interface da barra de idiomas está visível no navegador junto com os aplicativos AVEVA InTouch Access Anywhere e Plant SCADA Access Anywhere. **Recomendações** Como solução alternativa temporária, considere desativar a funcionalidade da barra de idiomas do sistema operacional Windows até que uma correção esteja disponível. Restrinja o acesso ao prompt de comando do sistema operacional para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Oracle Fusion Middleware MapViewer versão 12.2.1.3.0 **Descrição** O problema está relacionado a um controle de acesso insuficiente no componente Tile Server do Oracle Fusion Middleware MapViewer. Isso permite que um invasor remoto modifique, adicione ou exclua dados usando o protocolo HTTP. A exploração bem-sucedida pode resultar em acesso não autorizado a dados críticos, incluindo a criação, exclusão ou modificação de dados, bem como acesso de leitura não autorizado a um subconjunto de dados. **Recomendações** Para a versão 12.2.1.3.0, considere restringir o acesso ao componente Tile Server até que um patch esteja disponível. Como solução alternativa temporária, limite o acesso à rede via HTTP para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Oracle Fusion Middleware MapViewer, versões 12.2.1.3.0 a 12.2.1.4.0 **Descrição** O problema está relacionado ao produto Oracle Fusion Middleware MapViewer, especificamente ao componente Tile Server. Isso permite que um invasor não autenticado com acesso à rede via HTTP comprometa o Oracle Fusion Middleware MapViewer. Ataques bem-sucedidos exigem interação humana de uma pessoa que não seja o invasor e podem impactar significativamente outros produtos. Os ataques podem resultar em acesso não autorizado para atualização, inserção ou exclusão de alguns dos dados acessíveis do Oracle Fusion Middleware MapViewer, bem como acesso não autorizado para leitura de um subconjunto dos dados acessíveis do Oracle Fusion Middleware MapViewer. **Recomendações** Para as versões 12.2.1.3.0 e 12.2.1.4.0, considere restringir o acesso ao componente Tile Server até que um patch esteja disponível. Como solução alternativa temporária, considere desativar o acesso HTTP ao produto Oracle Fusion Middleware MapViewer até que uma correção seja fornecida. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Name of the Vulnerable Software and Affected Versions** Toshiba Bluetooth Stack for Windows versions prior to 9.10.32(T) Toshiba Service Station versions prior to 2.2.14 **Description** The issue allows local users to gain privileges via a Trojan horse application with a name composed of an initial substring of a path that contains a space character. This is due to an unquoted Windows search path vulnerability. **Recommendations** For Toshiba Bluetooth Stack for Windows versions prior to 9.10.32(T), update to version 9.10.32(T) or later. For Toshiba Service Station versions prior to 2.2.14, update to version 2.2.14 or later.

Name of the Vulnerable Software and Affected Versions: Skype versions 1.1.0.20 and earlier Description: The issue allows local users to overwrite arbitrary files via a symlink attack on the `skype profile.jpg` temporary file. Recommendations: For Skype versions 1.1.0.20 and earlier, at the moment, there is no information about a newer version that contains a fix for this issue.

**Name of the Vulnerable Software and Affected Versions** Wine versions 20050211 and earlier **Description** The issue allows local users to obtain sensitive information, such as passwords, due to the creation of temp files with world-readable permissions and predictable file names. **Recommendations** For Wine versions 20050211 and earlier, consider restricting access to temporary files created by the application to minimize the risk of sensitive information disclosure.