Jakub Korepta

**Nome do software vulnerável e versões afetadas** Versões do Aviatrix Controller anteriores à 7.1.4191 e versões 7.2.x anteriores à 7.2.4996. **Descrição** Uma vulnerabilidade crítica de injeção de comando no Aviatrix Controller permite que invasores não autenticados executem código arbitrário devido à neutralização inadequada de elementos especiais usados em um comando do sistema operacional. Isso pode ser explorado enviando metacaracteres de shell para `/v1/api` em `cloud type` para `list flightpath destination instances` ou `src cloud type` para `flightpath connection test`. Aproximadamente 3% dos ambientes de nuvem corporativos estão afetados, com invasores explorando essa vulnerabilidade para implantar backdoors e mineradores de criptomoedas. **Recomendações** Para resolver o problema em cada versão afetada, atualize para a versão 7.1.4191 ou 7.2.4996 o mais rápido possível para evitar a exploração. Como solução temporária, considere restringir o acesso aos pontos de extremidade da API vulneráveis até que um patch seja aplicado. Além disso, monitore seu ambiente em busca de sinais de exploração e aplique medidas de mitigação para proteger sua organização contra ataques cibernéticos.

**Nome do software vulnerável e versões afetadas: QNAP Systems Inc. Versões do QTS anteriores à 4.5.2.1566 Build 20210202 QNAP Systems Inc. Versões do QuTS hero anteriores à h4.5.2.1638 build 20210414 Descrição: Um problema relatado permite que invasores injetem código malicioso. Isso é feito por meio de uma vulnerabilidade XSS. Recomendações: Para versões do QTS anteriores à 4.5.2.1566 Build 20210202, atualize para a versão 4.5.2.1566 Build 20210202 ou posterior. Para versões do QuTS hero anteriores à h4.5.2.1638 build 20210414, atualize para a versão h4.5.2.1638 build 20210414 ou posterior.