Hamed Ashraf

**Name of the Vulnerable Software and Affected Versions** IBM Security Guardium versions 11.3 through 11.5 **Description** The issue is related to improper validation of csv file contents, which could allow a remote attacker to execute malicious commands. This is due to the lack of neutralization of elements in the CSV file. **Recommendations** For versions 11.3 through 11.5, consider disabling the import of CSV files until a patch is available to prevent exploitation. Restrict access to the functionality that handles CSV file contents to minimize the risk of exploitation. At the moment, there is no information about a newer version that contains a fix for this vulnerability.

**Name of the Vulnerable Software and Affected Versions** IBM Maximo Asset Management versions 7.6.1.1 through 7.6.1.3 IBM Maximo Application Suite versions 8.8 through 8.9 **Description** This issue allows users to embed arbitrary JavaScript code in the Web UI, altering the intended functionality and potentially leading to credentials disclosure within a trusted session. The vulnerability is related to stored cross-site scripting. **Recommendations** For IBM Maximo Asset Management versions 7.6.1.1 through 7.6.1.3, update to a version that includes the fix for this issue. For IBM Maximo Application Suite versions 8.8 through 8.9, update to a version that includes the fix for this issue. As a temporary workaround, consider restricting access to the Web UI to minimize the risk of exploitation.

**Nome do software vulnerável e versões afetadas** Oracle Communications Operations Monitor versões 3.4, 4.2, 4.3, 4.4 e 5.0 **Descrição** A vulnerabilidade existe no componente Mediation Engine do Oracle Communications Operations Monitor devido à validação insuficiente de entradas. Isso permite que um invasor remoto obtenha acesso de leitura, modifique, adicione ou exclua dados, ou cause uma negação parcial de serviço usando solicitações HTTP. Ataques bem-sucedidos podem resultar em acesso não autorizado a alguns dados, bem como na capacidade de causar uma negação parcial de serviço. **Recomendações** Para as versões 3.4, 4.2, 4.3, 4.4 e 5.0, atualize para uma versão que inclua a correção para este problema. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Oracle Communications Operations Monitor versões 3.4, 4.2, 4.3, 4.4, 5.0 **Descrição** A vulnerabilidade existe devido à validação insuficiente de entradas no componente Mediation Engine do Oracle Communications Operations Monitor. Ela pode ser explorada por um invasor remoto por meio de solicitações HTTP especialmente criadas, permitindo-lhe potencialmente ler, modificar, adicionar ou excluir dados, ou causar uma negação parcial de serviço. A vulnerabilidade pode afetar significativamente outros produtos além do Oracle Communications Operations Monitor, possibilitando o acesso não autorizado e a modificação de dados, bem como ataques de negação parcial de serviço. **Recomendações** Para as versões 3.4, 4.2, 4.3, 4.4 e 5.0, atualize para uma versão que inclua a correção para este problema a fim de evitar a exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Oracle Communications Operations Monitor versões 3.4, 4.2, 4.3, 4.4 e 5.0 **Descrição** O problema se deve a uma validação insuficiente de entradas no componente Mediation Engine. Isso permite que um invasor com privilégios elevados e acesso à rede via HTTP comprometa o Oracle Communications Operations Monitor. Ataques bem-sucedidos podem resultar na tomada de controle do Oracle Communications Operations Monitor. A vulnerabilidade pode ser explorada por meio de solicitações HTTP especialmente criadas. **Recomendações** Para as versões 3.4, 4.2, 4.3, 4.4 e 5.0, atualize para uma versão que inclua a correção para este problema. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Oracle Communications Operations Monitor versões 3.4, 4.2, 4.3, 4.4, 5.0 **Descrição** O problema está relacionado à validação insuficiente de entradas no componente Mediation Engine. Isso permite que um invasor com privilégios limitados e acesso à rede via HTTP comprometa o Oracle Communications Operations Monitor. Ataques bem-sucedidos exigem interação humana e podem impactar significativamente outros produtos, resultando em acesso não autorizado para atualização, inserção ou exclusão de alguns dados, bem como acesso não autorizado para leitura de um subconjunto de dados. **Recomendações** Para as versões 3.4, 4.2, 4.3, 4.4, 5.0, atualize para uma versão que inclua a correção para este problema. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Oracle Communications Operations Monitor versões 3.4, 4.2, 4.3, 4.4 e 5.0 **Descrição** A vulnerabilidade está relacionada à validação insuficiente de entradas no componente Mediation Engine. Ela permite que um invasor com privilégios limitados e acesso à rede via HTTP comprometa o Oracle Communications Operations Monitor. Ataques bem-sucedidos exigem interação humana de uma pessoa que não seja o invasor e podem impactar significativamente outros produtos. Os ataques podem resultar em acesso não autorizado para atualização, inserção ou exclusão de alguns dos dados acessíveis do Oracle Communications Operations Monitor, bem como acesso não autorizado para leitura de um subconjunto desses dados. **Recomendações** Para as versões 3.4, 4.2, 4.3, 4.4 e 5.0, considere restringir o acesso ao componente Mediation Engine para minimizar o risco de exploração até que um patch esteja disponível. Como solução alternativa temporária, considere desativar o acesso HTTP ao Oracle Communications Operations Monitor até que o problema seja resolvido. Evite usar solicitações HTTP especialmente criadas para o componente afetado até que a vulnerabilidade seja corrigida. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Oracle Communications Operations Monitor versões 3.4, 4.2, 4.3, 4.4 e 5.0 **Descrição** O problema está relacionado à validação insuficiente de entradas no componente Mediation Engine do Oracle Communications Operations Monitor. Isso permite que um invasor com privilégios limitados e acesso à rede via HTTP comprometa o sistema. Ataques bem-sucedidos exigem interação humana de uma pessoa que não seja o invasor e podem impactar significativamente outros produtos. A exploração pode resultar em acesso não autorizado para atualizar, inserir ou excluir alguns dos dados acessíveis, bem como acesso não autorizado para leitura de um subconjunto dos dados acessíveis. **Recomendações** Para as versões 3.4, 4.2, 4.3, 4.4 e 5.0, considere restringir o acesso ao componente Mediation Engine até que um patch esteja disponível. Como solução alternativa temporária, evite usar solicitações HTTP especialmente criadas para minimizar o risco de exploração. Restrinja o acesso a dados confidenciais para impedir o acesso não autorizado para leitura, atualização, inserção ou exclusão.

**Nome do software vulnerável e versões afetadas** Oracle Java SE versões 7u321, 8u311, 11.0.13, 17.0.1 Oracle GraalVM Enterprise Edition versões 20.3.4, 21.3.0 **Descrição** O problema está relacionado ao componente JAXP e envolve a execução de um loop com uma condição de saída inatingível. Isso pode ser explorado por um invasor não autenticado com acesso à rede por meio de vários protocolos para causar uma negação de serviço parcial. A vulnerabilidade se aplica a implantações Java que carregam e executam código não confiável e dependem da sandbox do Java para segurança. Ela também pode ser explorada por meio de APIs no componente especificado, como por meio de um serviço web que fornece dados às APIs. **Recomendações** Para as versões 7u321, 8u311, 11.0.13 e 17.0.1 do Oracle Java SE, atualize para uma versão que contenha a correção para este problema. Para as versões 20.3.4 e 21.3.0 do Oracle GraalVM Enterprise Edition, atualize para uma versão que contenha a correção para este problema. Como solução alternativa temporária, considere restringir o acesso ao componente JAXP até que um patch esteja disponível. Evite usar APIs no componente especificado que possam estar vulneráveis a exploração até que o problema seja resolvido.

**Nome do software vulnerável e versões afetadas** Oracle Communications Operations Monitor versões 3.4, 4.2, 4.3, 4.4, 5.0 **Descrição** O problema está relacionado à validação insuficiente de entradas no componente Mediation Engine do Oracle Communications Operations Monitor. Isso pode ser explorado por um invasor com poucos privilégios e acesso à rede via HTTP, comprometendo potencialmente o sistema. Ataques bem-sucedidos exigem interação humana de uma pessoa que não seja o invasor e podem impactar significativamente outros produtos, resultando em acesso não autorizado aos dados. **Recomendações** Para as versões 3.4, 4.2, 4.3, 4.4, 5.0, atualize para uma versão que inclua a correção para este problema. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** PeopleSoft Enterprise CS SA Integration Pack, versões 9.0 a 9.2 **Descrição** O problema está relacionado à validação insuficiente de entradas no componente Snapshot Integration do produto PeopleSoft Enterprise CS SA Integration Pack. Isso permite que um invasor não autenticado com acesso à rede via HTTP comprometa o sistema. Ataques bem-sucedidos podem resultar em acesso não autorizado a dados críticos ou acesso total a todos os dados acessíveis. **Recomendações** Para as versões 9.0 e 9.2, atualize para uma versão que inclua a correção para este problema. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.