Greendog

**Nome do software vulnerável e versões afetadas** Versões do Symmetric DS anteriores à 3.12.0 **Descrição** A vulnerabilidade permite que um invasor interaja com o JMX, o que pode levar à execução de código arbitrário. Isso é possível porque o mx4j, usado pelo Symmetric DS para fornecer acesso ao JMX via HTTP, não possui autenticação por padrão e está disponível em todas as interfaces. Um invasor pode obter informações do sistema, invocar métodos MBean e instalar MBeans adicionais a partir de um host remoto usando o MLet. **Recomendações** Para versões do Symmetric DS anteriores à 3.12.0, considere desativar o acesso ao JMX via HTTP ou restringi-lo a interfaces específicas e implementar autenticação para impedir o acesso não autorizado. Como solução alternativa temporária, considere desativar a funcionalidade MLet para impedir a instalação de MBeans adicionais a partir de hosts remotos.

**Nome do software vulnerável e versões afetadas** Oracle Business Intelligence Enterprise Edition, versões 5.5.0.0.0 a 12.2.1.4.0 **Descrição** O problema está relacionado a um controle de acesso insuficiente no componente Analytics Web General do Oracle Business Intelligence Enterprise Edition. Isso pode ser explorado por um invasor remoto para obter controle total sobre o aplicativo usando o protocolo HTTP. A vulnerabilidade pode ser facilmente explorada e permite que um invasor não autenticado com acesso à rede via HTTP comprometa o Oracle Business Intelligence Enterprise Edition, resultando na tomada de controle do aplicativo. **Recomendações** Para as versões 5.5.0.0.0, 11.1.1.9.0, 12.2.1.3.0 e 12.2.1.4.0, atualize para uma versão que inclua a correção para este problema. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Name of the Vulnerable Software and Affected Versions** JetBrains TeamCity versions prior to 2019.1.2 **Description** The issue allows access to the history of builds of a deleted build configuration under certain circumstances. **Recommendations** For versions prior to 2019.1.2, update to version 2019.1.2 or later to resolve the issue.

**Name of the Vulnerable Software and Affected Versions** JetBrains TeamCity versions prior to 2019.1.4 **Description** The issue is related to insecure Java Deserialization, which could potentially allow remote code execution. **Recommendations** For versions prior to 2019.1.4, update to version 2019.1.4 or later to resolve the issue.

**Name of the Vulnerable Software and Affected Versions** cryo version 0.0.6 cryo (all versions) **Description** A code injection issue in cryo allows an attacker to execute arbitrary code due to an insecure implementation of deserialization. This affects all versions of cryo. **Recommendations** For cryo version 0.0.6, at the moment, there is no information about a newer version that contains a fix for this issue. For all versions of cryo, consider using an alternative module until a fix is made available. As a temporary workaround, consider restricting the use of the deserialization function to minimize the risk of exploitation.