Justine Osborne

**Nome do Software Vulnerável e Versões Afetadas** Versões do StorNext RYO anteriores a 7.2.4 Versões do StorNext Xcellis Workflow Director anteriores a 7.2.4 Versões do ActiveScale Cold Storage anteriores a 7.2.4 Versões do Quantum StorNext Web GUI API anteriores a 7.2.4 **Descrição** O problema permite potencial Execução Arbitrária de Código Remoto (RCE) através do upload de um arquivo. **Recomendações** Para versões do StorNext RYO anteriores a 7.2.4, atualize para a versão 7.2.4 ou posterior. Para versões do StorNext Xcellis Workflow Director anteriores a 7.2.4, atualize para a versão 7.2.4 ou posterior. Para versões do ActiveScale Cold Storage anteriores a 7.2.4, atualize para a versão 7.2.4 ou posterior. Para versões do Quantum StorNext Web GUI API anteriores a 7.2.4, atualize para a versão 7.2.4 ou posterior. Como solução alternativa temporária, considere restringir uploads de arquivos para minimizar o risco de exploração.

**Nome do Software Vulnerável e Versões Afetadas** Versões do StorNext RYO anteriores à 7.2.4 Versões do StorNext Xcellis Workflow Director anteriores à 7.2.4 Versões do ActiveScale Cold Storage anteriores à 7.2.4 **Descrição** A falha permite acesso à configuração interna e modificação não autorizada de parâmetros de configuração do software por meio de credenciais de usuário não documentadas. **Recomendações** Para versões do StorNext RYO anteriores à 7.2.4, atualize para a versão 7.2.4 ou posterior. Para versões do StorNext Xcellis Workflow Director anteriores à 7.2.4, atualize para a versão 7.2.4 ou posterior. Para versões do ActiveScale Cold Storage anteriores à 7.2.4, atualize para a versão 7.2.4 ou posterior.

**Nome do software vulnerável e versões afetadas** Versões do Rundeck anteriores à 3.2.6 **Descrição** A vulnerabilidade permite que usuários autenticados criem uma solicitação que revele dados e registros de execução, bem como detalhes de tarefas, aos quais não têm autorização para acessar. Dependendo da configuração e da forma como o Rundeck é utilizado, isso pode resultar em um risco de gravidade alta ou, por outro lado, em um risco muito baixo. Se o acesso for rigidamente restrito e todos os usuários no sistema tiverem acesso a todos os projetos, isso não representa um grande problema. Se o acesso for mais amplo e permitir o login de usuários que não têm acesso a nenhum projeto, ou se o acesso aos projetos for restrito, o problema é maior. Se o acesso deve ser restrito e segredos, dados confidenciais ou propriedade intelectual forem expostos na saída de execução do Rundeck e nos dados da tarefa, o risco se torna muito maior. Um usuário autenticado poderia criar uma solicitação para visualizar Execuções e baixar logs de execução sem ter acesso para `ler` ou `visualizar` a Tarefa associada ou o recurso ad hoc. Algumas solicitações de API autenticadas não estavam verificando corretamente os níveis de autorização apropriados. **Recomendações** Atualize para a versão 3.2.6 do Rundeck para resolver o problema. Como solução temporária, considere restringir o acesso a dados confidenciais e propriedade intelectual expostos na saída de execução do Rundeck e nos dados da tarefa até que o patch seja aplicado. Restrinja o acesso às funções `read` e `view` para tarefas e recursos ad hoc a fim de minimizar o risco de exploração. Evite usar o acesso `run`