Haby0

**Nome do software vulnerável e versões afetadas** VMware Photon (versões afetadas não especificadas) **Descrição** A vulnerabilidade permite que invasores remotos injetem registros por meio do caractere `r` no parâmetro `package`, possibilitando a inserção de dados maliciosos e entradas falsas. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Versões do gradio anteriores à 2.8.11 **Descrição** A biblioteca gradio possui uma funcionalidade de marcação que salva dados de entrada/saída em um arquivo CSV no computador do desenvolvedor. Isso pode permitir que um usuário salve texto arbitrário no arquivo CSV, como comandos. Se um programa como o MS Excel abrir tal arquivo, ele executará automaticamente esses comandos, o que poderia levar à execução de comandos arbitrários no computador do usuário. **Recomendações** Para versões anteriores à 2.8.11, evite abrir arquivos CSV gerados pelo gradio com o Excel ou programas de planilhas semelhantes. Atualize para a versão 2.8.11 ou posterior, que escapa o CSV salvo com aspas simples, para resolver o problema.

**Nome do software vulnerável e versões afetadas** Versões do NVIDIA NeMo anteriores à 1.6.0 **Descrição** O problema diz respeito a uma vulnerabilidade de traversal de caminho relativo no ASR WebApp do NVIDIA NeMo. Essa vulnerabilidade pode levar à exclusão de qualquer diretório quando privilégios de administrador estão disponíveis, por meio do uso da estrutura “../”. A vulnerabilidade afeta casos em que o ASR WebApp é usado com permissões de superusuário e impacta usuários que clonam o repositório e executam o aplicativo web. **Recomendações** Para versões anteriores à 1.6.0, aplique as alterações do commit https://github.com/NVIDIA/NeMo/commit/f7e4ed7e4f7f2fa43765a38c2fafa1b6d1ebd7c0 para corrigir a vulnerabilidade. Como solução alternativa temporária, considere restringir o uso do ASR Webapp ou executá-lo sem permissões de superusuário para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas: Versões do Gradio anteriores à 2.5.0 Descrição: A vulnerabilidade afeta usuários que criam e compartilham publicamente interfaces do Gradio. Os caminhos dos arquivos não são restritos, permitindo que usuários que recebam um link do Gradio acessem quaisquer arquivos no computador host, caso conheçam os nomes ou caminhos dos arquivos, limitados apenas pelo sistema operacional do host. Os arquivos são abertos no modo somente leitura. Não há evidências de que essa vulnerabilidade tenha sido explorada. Recomendações: Para versões do Gradio anteriores à 2.5.0, atualize para a versão 2.5.0 ou posterior para resolver o problema. Como solução temporária, considere evitar o compartilhamento de interfaces do Gradio até que a atualização seja aplicada. Restrinja o acesso a arquivos confidenciais no computador host para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Versões do Apache JSPWiki até 2.11.0.M8 **Descrição** O problema está relacionado a um controle de acesso inadequado no Apache JSPWiki, permitindo que invasores remotos excluam arquivos arbitrários em um sistema que hospeda uma instância do JSPWiki, utilizando uma solicitação HTTP cuidadosamente elaborada durante o processo de logout. Isso é possível se os arquivos estiverem acessíveis ao usuário que executa a instância do JSPWiki. **Recomendações** Para versões do Apache JSPWiki até 2.11.0.M8, atualize para a versão 2.11.0 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso a arquivos e diretórios confidenciais para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas: Versões do Aim anteriores à 3.1.0 Descrição: O Aim é uma ferramenta de código aberto e auto-hospedada para rastreamento de experimentos de aprendizado de máquina. A vulnerabilidade permite um ataque de traversal de caminho, que pode ser explorado através da manipulação de variáveis que referenciam arquivos com sequências “ponto-ponto-barra (../)” e suas variações, ou pelo uso de caminhos absolutos de arquivos. Isso pode permitir o acesso a arquivos e diretórios arbitrários armazenados no sistema de arquivos, incluindo código-fonte ou configuração de aplicativos e arquivos críticos do sistema. Recomendações: Para versões do Aim anteriores à 3.1.0, atualize para a versão 3.1.0 para resolver a vulnerabilidade. Como solução temporária, considere restringir o acesso a arquivos e diretórios confidenciais para minimizar o risco de exploração. Evite usar caminhos absolutos de arquivos ou variáveis que façam referência a arquivos com sequências “ponto-ponto-barra (../)” e suas variações nos pontos de extremidade da API afetados até que a vulnerabilidade seja resolvida.

**Nome do software vulnerável e versões afetadas** Plugin Jenkins OWASP Dependency-Check, versões 5.1.1 e anteriores **Descrição** O problema está relacionado ao fato de o analisador XML não estar configurado para impedir ataques de entidade externa XML (XXE). Isso permite que invasores capazes de controlar o conteúdo da área de trabalho façam com que o Jenkins analise um arquivo XML malicioso, o que pode levar à extração de segredos do controlador do Jenkins ou à falsificação de solicitações do lado do servidor. **Recomendações** Para as versões 5.1.1 e anteriores, atualize para uma versão que configure seu analisador XML para impedir ataques XXE. Como solução temporária, considere restringir o acesso ao analisador XML ou desativá-lo até que um patch esteja disponível.

**Nome do software vulnerável e versões afetadas** Versões do Mycodo anteriores à 8.12.7 **Descrição** O Mycodo é um sistema de monitoramento e regulagem ambiental. Uma vulnerabilidade permite que qualquer pessoa com acesso aos terminais baixe arquivos fora do diretório pretendido. Um patch foi aplicado e uma versão foi lançada. **Recomendações** Para versões anteriores à 8.12.7, atualize para a versão 8.12.7. Como solução alternativa temporária, os usuários podem aplicar manualmente as alterações do commit de correção.