Knstvk

**Name of the Vulnerable Software and Affected Versions** Jmix versions 1.0.0 through 1.6.1 Jmix versions 2.0.0 through 2.3.4 **Description** The local file storage implementation in Jmix does not restrict the size of uploaded files, allowing an attacker to upload excessively large files and potentially cause the server to run out of space, resulting in a denial of service. **Recommendations** For versions 1.0.0 through 1.6.1, update to version 1.6.2. For versions 2.0.0 through 2.3.4, update to version 2.4.0. As a temporary workaround, consider restricting the size of uploaded files to prevent excessive file uploads until a patch is applied.

**Nome do Software Vulnerável e Versões Afetadas** Versões do CUBA Platform anteriores à 7.2.23 **Descrição** A implementação de armazenamento de arquivos locais no CUBA Platform não restringe o tamanho dos arquivos enviados, permitindo que um atacante envie arquivos excessivamente grandes. Isso pode fazer com que o servidor fique sem espaço e retorne um erro HTTP 500, resultando em uma negação de serviço. **Recomendações** Para versões anteriores à 7.2.23, atualize para a versão 7.2.23 para resolver o problema. Como solução temporária, considere implementar restrições de tamanho de arquivo na implementação de armazenamento de arquivos locais até que o patch seja aplicado.

**Nome do Software Vulnerável e Versões Afetadas** Versões do Cuba JPA anteriores à 1.1.1 **Descrição** A API web do Cuba JPA permite carregar e salvar entidades definidas no modelo de dados da aplicação por meio de solicitações HTTP simples. Em versões anteriores à 1.1.1, o parâmetro de entrada, que inclui um caminho e nome de arquivo, pode ser manipulado para retornar o cabeçalho Content-Type com text/html se a parte do nome terminar com .html. Isso poderia permitir a execução de código JavaScript malicioso no navegador. Para que um ataque seja bem-sucedido, um arquivo malicioso precisa ser enviado anteriormente. **Recomendações** Para versões anteriores à 1.1.1, atualize para a versão 1.1.1 para resolver o problema. Como solução temporária, considere utilizar a medida de contorno fornecida no site de documentação do Jmix até que a atualização para a versão 1.1.1 possa ser aplicada.

**Name of the Vulnerable Software and Affected Versions** Jmix versions 1.0.0 through 1.6.1 Jmix versions 2.0.0 through 2.3.4 **Description** The issue affects Jmix, a set of libraries and tools for Spring Boot data-centric application development. It allows manipulation of the input parameter, which consists of a file path and name, to return the Content-Type header with text/html if the name part ends with .html. This could enable malicious JavaScript code to be executed in the browser. A successful attack requires a malicious file to be uploaded beforehand. **Recommendations** For versions 1.0.0 through 1.6.1, update to version 1.6.2. For versions 2.0.0 through 2.3.4, update to version 2.4.0. As a temporary workaround, consider using the workaround provided on the Jmix documentation website.