K

**Nome do Software Vulnerável e Versões Afetadas** Apache Storm versões anteriores a 2.8.7 **Descrição** Quando o transporte TLS está habilitado sem exigir a autenticação de certificado do cliente, o `TlsTransportPlugin` atribui um principal de fallback (CN=ANONYMOUS) se nenhum certificado do cliente for apresentado ou se a verificação falhar. Isso ocorre porque a `SSLPeerUnverifiedException` é capturada e suprimida em vez de rejeitar a conexão. Esse comportamento de falha aberta permite que clientes não autenticados estabeleçam uma conexão TLS e recebam uma identidade de principal válida. Se o autorizador configurado, como o `SimpleACLAuthorizer`, não negar explicitamente o acesso ao CN=ANONYMOUS, isso pode resultar em acesso não autorizado aos serviços. Esta condição é registrada apenas no nível de depuração (debug), reduzindo a visibilidade em ambientes de produção. **Recomendações** Atualizar para a versão 2.8.7. Habilitar a autenticação obrigatória de certificado do cliente definindo `nimbus.thrift.tls.client.auth.required` como `true`. Garantir que as regras de autorização neguem explicitamente o acesso ao CN=ANONYMOUS. Revisar todas as configurações de ACL para identificar comportamentos implícitos de permissão padrão (default-allow).

**Nome do Software Vulnerável e Versões Afetadas** Apache Storm versões 2.6.3 a 2.8.6 **Descrição** Ocorre uma validação inadequada de certificado no Prometheus Reporter quando a configuração `storm.daemon.metrics.reporter.plugin.prometheus.skip tls validation` está habilitada. A classe `PrometheusPreparableReporter` utiliza um `INSECURE TRUST MANAGER` que aceita todos os certificados SSL sem validação, por meio de métodos `checkClientTrusted` e `checkServerTrusted` vazios. Quando a configuração mencionada está ativa, o `INSECURE CONNECTION FACTORY` executa `SSLContext.setDefault(sslContext)`, o que substitui o contexto SSL padrão de toda a Java Virtual Machine (JVM) em vez de limitar o contexto inseguro apenas à conexão do Prometheus. Consequentemente, todas as comunicações HTTPS no processo — incluindo conexões ZooKeeper, Thrift, Netty e UI — confiam em todos os certificados, inclusive os autoassinados ou gerados por atacantes, permitindo a interceptação man-in-the-middle de credenciais administrativas, submissões de topologia, estado do cluster e dados de tuplas. **Recomendações** Atualizar para a versão 2.8.7. Remover a configuração `storm.daemon.metrics.reporter.plugin.prometheus.skip tls validation: true` do arquivo `storm.yaml` e configurar um truststore adequado contendo o certificado do PushGateway.

**Name of the Vulnerable Software and Affected Versions** Apache Storm versões anteriores a 2.8.6 **Description** O componente de visualização da Storm UI interpola metadados de topologia, como IDs de componentes, nomes de fluxos e valores de agrupamento, diretamente no HTML via innerHTML nas funções `parseNode()` e `parseEdge()` sem sanitização. Um usuário autenticado com direitos de submissão de topologia pode criar uma topologia contendo HTML ou JavaScript malicioso em identificadores de componentes. Esse payload é transmitido através do Nimbus, Thrift e da API de Visualização para a renderização de tooltips do vis.js, resultando em cross-site scripting armazenado. Em implantações multi-tenant, isso pode permitir a escalada de privilégios se a interface for acessada por operadores ou administradores. **Recommendations** Atualizar para a versão 2.8.6. Como solução temporária, aplique um monkey-patch nas funções `parseNode()` e `parseEdge()` no arquivo JavaScript de visualização para escapar em HTML todos os valores fornecidos pela API, incluindo `nodeId`, `:capacity`, `:latency`, `:component`, `:stream` e `:grouping` antes da interpolação nas strings HTML de tooltips. Restrinja a submissão de topologias a usuários confiáveis via ACLs do Nimbus como uma medida de defesa em profundidade.

**Nome do software vulnerável e versões afetadas** Vue (versões afetadas não especificadas) **Descrição** O problema está relacionado a uma expressão regular incorreta na função `parseHTML` do Vue, o que pode levar a uma vulnerabilidade potencial de negação de serviço por expressão regular. Essa falha, conhecida como ReDoS (Regular expression Denial of Service), permite que invasores retardem o aplicativo fornecendo entradas especialmente criadas que causam um processamento ineficiente de expressões regulares, levando a um consumo excessivo de recursos. Em um aplicativo Vue do lado do cliente, essa vulnerabilidade pode ser explorada criando-se uma nova instância do Vue com uma string de modelo que inclua uma tag `<script>`, mas a feche incorretamente. O tempo necessário para analisar e montar o aplicativo Vue aumenta significativamente devido à vulnerabilidade ReDoS, demonstrando como a falha pode afetar o desempenho. **Recomendações** Para mitigar esse problema, considere desativar a função `parseHTML` no arquivo `html-parser.ts` até que um patch esteja disponível. Restrinja o acesso ao arquivo `html-parser.ts` para minimizar o risco de exploração. Evite usar a função `parseHTML` com entradas não confiáveis até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Bootstrap (versões afetadas não especificadas) **Descrição** Foi identificada uma vulnerabilidade no Bootstrap que expõe os usuários a ataques de Cross-Site Scripting (XSS). O problema está presente no componente carousel, onde os atributos `data-slide` e `data-slide-to` podem ser explorados por meio do atributo `href` de uma tag <a> devido a uma sanitização inadequada. Isso poderia permitir que invasores executassem código JavaScript arbitrário no navegador da vítima. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** bootstrap (versões afetadas não especificadas) **Descrição** Foi descoberta uma falha de segurança que poderia permitir ataques de Cross-Site Scripting (XSS). A vulnerabilidade está associada ao atributo `data-loading-text` no plugin do botão. Ela pode ser explorada pela injeção de código JavaScript malicioso no atributo, que seria executado quando o estado de carregamento do botão fosse acionado. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Bootstrap (versões afetadas não especificadas) **Descrição** Foi identificada uma vulnerabilidade no Bootstrap que expõe os usuários a ataques de Cross-Site Scripting (XSS). O problema está presente no componente carousel, onde os atributos `data-slide` e `data-slide-to` podem ser explorados por meio do atributo href de uma tag `<a>` devido a uma sanitização inadequada. Isso poderia permitir que invasores executassem código JavaScript arbitrário no navegador da vítima. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Calendar01 versão 1.0.0 Calendar02 versão 1.0.0 PKOBO-News01 versões 1.0.3 e anteriores PKOBO-vote01 versões 1.0.1 e anteriores Telop01 versão 1.0.0 Gallery01 versões 1.0.3 e anteriores CalendarForm01 versões 1.0.3 e anteriores Link01 versão 1.0.0 **Descrição** A vulnerabilidade permite que invasores remotos contornem a autenticação e façam login no produto com privilégios administrativos. Os vetores exatos utilizados para o ataque não foram especificados. **Recomendações** Para o Calendar01 versão 1.0.0, atualize para uma versão que corrija a vulnerabilidade de contorno de autenticação. Para o Calendar02 versão 1.0.0, atualize para uma versão que corrija a vulnerabilidade de contorno de autenticação. Para o PKOBO-News01 versões 1.0.3 e anteriores, atualize para uma versão posterior à 1.0.3. Para as versões 1.0.1 e anteriores do PKOBO-vote01, atualize para uma versão posterior à 1.0.1. Para a versão 1.0.0 do Telop01, atualize para uma versão que corrija o problema de contorno de autenticação. Para as versões 1.0.3 e anteriores do Gallery01, atualize para uma versão posterior à 1.0.3. Para as versões 1.0.3 e anteriores do CalendarForm01, atualize para uma versão posterior à 1.0.3. Para a versão 1.0.0 do Link01, atualize para uma versão que corrija o problema de contorno da autenticação.