Jinchen Sheng

**Nome do software vulnerável e versões afetadas** Apache Kylin 2, versões 2.6.6 e anteriores Apache Kylin 3, versões 3.1.2 e anteriores **Descrição** O problema está relacionado ao driver JDBC do MySQL no Apache Kylin, o que pode permitir que um invasor execute código arbitrário a partir de um servidor MySQL malicioso dentro dos processos do servidor Kylin, caso determinadas propriedades não sejam mitigadas. Isso pode ser explorado por um invasor remoto. **Recomendações** Para as versões 2.6.6 e anteriores do Apache Kylin 2, atualize para uma versão posterior à 2.6.6 para resolver o problema. Para as versões 3.1.2 e anteriores do Apache Kylin 3, atualize para uma versão posterior à 3.1.2 para resolver o problema. Como solução alternativa temporária, considere restringir o uso do driver JDBC do MySQL até que um patch esteja disponível.

**Nome do software vulnerável e versões afetadas** Versões do Apache DolphinScheduler anteriores à 1.3.6 **Descrição** O problema está relacionado a falhas no gerenciamento de privilégios, permitindo que invasores remotos executem consultas SQL arbitrárias. Especificamente, usuários autorizados podem utilizar injeção de SQL no centro de fontes de dados ao usar uma fonte de dados MySQL com uma senha de conta de login interna. **Recomendações** Para versões anteriores à 1.3.6, atualize para a versão 1.3.6 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso ao centro de fontes de dados para fontes de dados MySQL com senhas de contas de login internas até que a atualização seja aplicada.

**Nome do software vulnerável e versões afetadas** Plugin Jenkins Blue Ocean, versões 1.23.2 e anteriores **Descrição** O problema diz respeito a um sinalizador de recurso não documentado que permite que um invasor com permissões específicas leia arquivos arbitrários no sistema de arquivos do controlador do Jenkins. O sinalizador `blueocean.features.GIT READ SAVE TYPE` pode ser definido com o valor `clone` para habilitar essa funcionalidade, afetando usuários com permissão Item/Configure ou Item/Create. **Recomendações** Para as versões 1.23.2 e anteriores do plugin Jenkins Blue Ocean, considere atualizar para a versão 1.23.3 ou posterior, que não inclui mais o recurso vulnerável e redireciona o uso existente para uma alternativa mais segura.

**Nome do software vulnerável e versões afetadas** Plugin Jenkins Blue Ocean, versões 1.23.2 e anteriores **Descrição** A ausência de uma verificação de permissão no plugin Jenkins Blue Ocean permite que invasores com permissão “Overall/Read” se conectem a uma URL especificada pelo invasor. A solicitação HTTP em si é legítima, mas apenas usuários autorizados deveriam poder executá-la. Esta vulnerabilidade afeta vários pontos de extremidade HTTP que implementam testes de conexão. **Recomendações** Para as versões 1.23.2 e anteriores do Jenkins Blue Ocean Plugin, atualize para a versão 1.23.3 ou posterior, que exige permissão de Item/Criação para realizar testes de conexão, resolvendo assim o problema da falta de verificação de permissão.