Jihang Yu

**Nome do Software Vulnerável e Versões Afetadas** Apache Camel versões 4.14.1 a 4.14.5 Apache Camel versões 4.18.0 a 4.18.1 **Descrição** Quando a autenticação está habilitada no servidor HTTP incorporado ou no servidor de gerenciamento incorporado (camel-platform-http-main) e um caminho de contexto não raiz (por exemplo, "/api" ou "/admin") é configurado via `camel.server.path` ou `camel.management.path`, as classes `BasicAuthenticationConfigurer` e `JWTAuthenticationConfigurer` derivam o caminho de autenticação de `properties.getPath()` se `camel.server.authenticationPath` ou `camel.management.authenticationPath` não for explicitamente definido. Devido ao modelo de montagem do sub-roteador Vert.x, o manipulador de autenticação corresponde apenas ao caminho de contexto configurado exato, e não aos seus subcaminhos. Consequentemente, solicitações não autenticadas para subcaminhos, como "/api/ route " ou "/admin/observe/info", podem acessar rotas de negócios protegidas e endpoints de gerenciamento sem credenciais. O endpoint "/observe/info" pode divulgar metadados de tempo de execução, incluindo o usuário, diretório de trabalho, diretório home, ID do processo, informações da JVM e do sistema operacional. **Recomendações** Atualizar para a versão 4.14.6 para aqueles no fluxo de versões LTS 4.14.x. Atualizar para a versão 4.18.2 para aqueles no fluxo de versões LTS 4.18.x. Atualizar para a versão 4.20.0.

**Nome do Software Vulnerável e Versões Afetadas** Apache DolphinScheduler versões anteriores a 3.4.1 **Descrição** Um problema de autorização incorreta permite que usuários autenticados com permissões de login no sistema utilizem tenants que não estão definidos na plataforma durante a execução do fluxo de trabalho. **Recomendações** Atualizar para a versão 3.4.1.