Jan Friedli

**Nome do software vulnerável e versões afetadas** Ahsay AhsayCBS versão 9.1.4.0 **Descrição** A vulnerabilidade permite que um usuário autenticado do sistema injete opções arbitrárias da JVM do Java. Administradores com permissão para modificar as Opções de Tempo de Execução na interface web podem injetar Opções de Tempo de Execução do Java, que entram em vigor após uma reinicialização. Isso pode permitir que um invasor ative serviços JMX, potencialmente conseguindo a execução remota de código como usuário do sistema. **Recomendações** Para o Ahsay AhsayCBS versão 9.1.4.0, considere restringir o acesso às Opções de Tempo de Execução na interface web para impedir a injeção de opções arbitrárias da JVM do Java até que um patch esteja disponível. Como solução alternativa temporária, evite usar o recurso para modificar as Opções de Tempo de Execução a fim de minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.