Joakim Bülow

**Nome do Software Vulnerável e Versões Afetadas** Apache PDFBox versões 2.0.24 a 2.0.36 Apache PDFBox versões 3.0.0 a 3.0.7 **Descrição** O exemplo ExtractEmbeddedFiles contido no Apache PDFBox apresenta uma vulnerabilidade de path traversal. O nome do arquivo obtido de `PDComplexFileSpecification.getFilename()` é concatenado ao caminho de extração, potencialmente permitindo acesso não autorizado ou modificação de arquivos. **Recomendações** Para as versões do Apache PDFBox de 2.0.24 a 2.0.36, revise qualquer código de produção que utilize o exemplo ExtractEmbeddedFiles para garantir que o caminho de extração seja aceitável. Para as versões do Apache PDFBox de 3.0.0 a 3.0.7, revise qualquer código de produção que utilize o exemplo ExtractEmbeddedFiles para garantir que o caminho de extração seja aceitável.

**Name of the Vulnerable Software and Affected Versions** Neo4j versions prior to 2026.01 **Description** A lack of proper unicode character escaping in the query log functionality can result in cross-site scripting (XSS) if logs are opened in a tool that interprets them as HTML. The issue is present in both Neo4j Enterprise and Community editions. While there is no direct security impact to Neo4j products, the advisory suggests treating logs as plain text. **Recommendations** Update to version 2026.01 or later. Treat query logs as plain text if using versions prior to 2026.01.