Joyh

**Nome do software vulnerável e versões afetadas** Apache SeaTunnel versão 1.0.0 **Descrição** O problema está relacionado a uma vulnerabilidade de autenticação na Web no Apache SeaTunnel, na qual a chave jwt está codificada de forma estática no aplicativo. Isso permite que um invasor falsifique qualquer token e faça login como qualquer usuário. O invasor pode obter a chave secreta em `/seatunnel-server/seatunnel-app/src/main/resources/application.yml` e, em seguida, criar um token. **Recomendações** Para o Apache SeaTunnel versão 1.0.0, recomenda-se que os usuários atualizem para a versão 1.0.1, que corrige o problema. Como solução alternativa temporária, considere restringir o acesso ao arquivo `/seatunnel-server/seatunnel-app/src/main/resources/application.yml` para impedir que invasores obtenham a chave secreta.

Nome do software vulnerável e versões afetadas: Versões do Apache Linkis <=1.5.0 Descrição: O problema está relacionado à falta de filtragem eficaz dos parâmetros no módulo DataSource Manager do Apache Linkis. Isso permite que um invasor configure parâmetros `db2` maliciosos, resultando em injeção JNDI. Para que o ataque seja executado, o invasor precisa obter uma conta autorizada no Linkis. Recomendações: Para versões do Apache Linkis <=1.5.0, atualize o Linkis para a versão 1.6.0. Como solução temporária, considere colocar os parâmetros da URL do DB2 na lista negra para minimizar o risco de exploração. Restrinja o acesso ao Módulo DataSource Manager apenas a contas autorizadas.