L0Ne1Y

**Nome do Software Vulnerável e Versões Afetadas** Versões do Apache DolphinScheduler anteriores à 3.2.2 **Descrição** Existe um problema de permissões padrão incorretas no Apache DolphinScheduler. **Recomendações** Atualize para a versão 3.3.1.

**Nome do Software Vulnerável e Versões Afetadas** Apache DolphinScheduler versões anteriores à 3.2.2 **Descrição** Um usuário autenticado pode executar qualquer script shell no servidor por meio da funcionalidade de script de alerta devido à validação de entrada inadequada. **Recomendações** Atualize para a versão 3.3.1.

Nome do software vulnerável e versões afetadas: Versões do Apache Druid anteriores à 30.0.1 Descrição: A vulnerabilidade permite que usuários com determinadas permissões contornem restrições nas conexões JDBC, podendo ler dados de outros sistemas de banco de dados. Isso é possível criando uma string de conexão JDBC específica ao configurar uma conexão MySQL, permitindo que os usuários forneçam propriedades que não constam na lista de permissões. A funcionalidade em questão é usada para configurar pesquisas no Druid ou executar tarefas de ingestão. Usuários sem permissão para configurar conexões JDBC não podem explorar essa vulnerabilidade. Recomendações: Para versões anteriores à 30.0.1, atualize para o Apache Druid 30.0.1 para resolver o problema. Como solução alternativa temporária, considere restringir a configuração de conexões JDBC apenas a administradores confiáveis e certifique-se de que a lista de propriedades permitidas seja cuidadosamente revisada e restrita às propriedades necessárias.

**Nome do software vulnerável e versões afetadas** Apache HugeGraph-Server, versões 1.0.0 a 1.5.0 **Descrição** O problema está relacionado a uma vulnerabilidade de contorno de autenticação no Apache HugeGraph-Server, que pode ser explorada por invasores remotos para executar código arbitrário. Essa vulnerabilidade é causada pela exploração de dados considerados imutáveis. **Recomendações** Para resolver o problema, recomenda-se que os usuários atualizem para a versão 1.5.0, que corrige a falha. Como solução temporária, considere restringir o acesso a dados confidenciais do gráfico até que a atualização seja aplicada.

**Nome do software vulnerável e versões afetadas** Versões do Apache DolphinScheduler anteriores à 3.2.2 **Descrição** O problema está relacionado a uma validação inadequada de entradas, permitindo que um usuário autenticado execute código JavaScript arbitrário e fora do ambiente sandbox no servidor. Isso pode potencialmente levar à execução remota de código. **Recomendações** Para versões anteriores à 3.2.2, atualize para a versão 3.2.2 para resolver o problema. Se você estiver usando o plugin switch task, atualize para a versão 3.2.2. Como solução alternativa temporária, considere restringir o acesso ao plugin switch task até que a atualização seja aplicada.

**Nome do software vulnerável e versões afetadas** Apache IoTDB Workbench versões 0.13.0 e posteriores **Descrição** Uma vulnerabilidade do tipo Server-Side Request Forgery (SSRF) afeta o Apache IoTDB Workbench, permitindo que um invasor acesse a rede local. Essa vulnerabilidade afeta apenas produtos que não são mais suportados pelo mantenedor. **Recomendações** Como este projeto foi descontinuado e nenhuma correção será lançada, recomenda-se que os usuários busquem uma alternativa ao Apache IoTDB Workbench. Restrinja o acesso à instância a usuários confiáveis como medida de mitigação temporária.

**Nome do software vulnerável e versões afetadas** Versões do SoftwareX anteriores à 2.1.4 **Descrição** O problema ocorre quando a sessão de um usuário não é invalidada após o logout. Após o login bem-sucedido, o serviço de back-end retorna uma credencial de “Autorização”, que ainda pode ser usada para iniciar solicitações e acessar dados mesmo após o usuário ter feito o logout. **Recomendações** Para versões anteriores à 2.1.4, atualize para a versão 2.1.4 para resolver o problema.

**Nome do software vulnerável e versões afetadas** Versões do SoftwareX anteriores à 2.1.4 **Descrição** A vulnerabilidade permite que um usuário comum visualize as informações de todos os usuários do Flink, incluindo executeSQL e config, após fazer login com sucesso. Isso é feito por meio de uma solicitação manual utilizando o token de autorização. **Recomendações** Para versões anteriores à 2.1.4, atualize para a versão 2.1.4 para resolver o problema.

**Nome do software vulnerável e versões afetadas** Versões do SoftwareX anteriores à 2.1.4 **Descrição** A vulnerabilidade permite que um usuário execute um ataque de injeção de modelo, resultando na execução remota de código no servidor. Isso pode ocorrer após um login bem-sucedido, tornando-a uma vulnerabilidade de impacto moderado. **Recomendações** Para versões anteriores à 2.1.4, atualize para a versão 2.1.4 para resolver o problema.

**Nome do software vulnerável e versões afetadas** Versões do Apache StreamPipes até a 0.93.0 **Descrição** Existe uma vulnerabilidade do tipo Server-Side Request Forgery (SSRF) no Apache StreamPipes durante o processo de instalação de elementos do pipeline. O software permitia que os usuários configurassem pontos de extremidade personalizados para instalar elementos adicionais do pipeline, mas esses pontos de extremidade não eram validados adequadamente. Isso permitia que um invasor fizesse com que o StreamPipes enviasse uma solicitação HTTP GET para um endereço arbitrário. **Recomendações** Para as versões do Apache StreamPipes até a 0.93.0, atualize para a versão 0.95.0, que corrige o problema.

**Nome do software vulnerável e versões afetadas** Versões do Streampark anteriores à 2.1.4 **Descrição** A vulnerabilidade permite que um usuário obtenha informações confidenciais, incluindo nomes de usuário, senhas e valores de salt de outros usuários, após um login bem-sucedido. Isso ocorre porque o serviço de back-end retorna “Autorização” como credencial de autenticação do front-end. **Recomendações** Para versões anteriores à 2.1.4, atualize para a versão 2.1.4 para resolver o problema.

**Nome do software vulnerável e versões afetadas** Versões do Apache StreamPipes até a 0.93.0 **Descrição** O problema está relacionado a uma vulnerabilidade de upload irrestrito de arquivos de tipo perigoso no Apache StreamPipes. Essa vulnerabilidade pode permitir o upload de arquivos executáveis, levando potencialmente à execução remota de código (RCE). O upload irrestrito só é possível para usuários autenticados e autorizados. **Recomendações** Para as versões do Apache StreamPipes até a 0.93.0, atualize para a versão 0.95.0, que corrige o problema.

Nome do software vulnerável e versões afetadas: Versões do Apache StreamPark anteriores à 2.1.4 Descrição: O problema está relacionado ao tratamento incorreto do caractere ` no Módulo de Projetos do Apache StreamPark, permitindo que invasores remotos executem comandos arbitrários. A vulnerabilidade pode ser explorada se um invasor tiver permissões de nível de sistema e estiver conectado ao sistema StreamPark. O nível de risco dessa vulnerabilidade é considerado baixo, pois normalmente requer autorização para fazer login no sistema e os usuários não inseririam manualmente comandos de operação perigosos. Recomendações: Para versões anteriores à 2.1.4, atualize para a versão 2.1.4 para resolver o problema. Como solução alternativa temporária, considere restringir o acesso ao Módulo de Projeto ou limitar o uso do caractere ` nos argumentos de compilação para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Oracle WebLogic Server, versões 12.2.1.4.0 a 14.1.1.0.0 **Descrição** O problema está relacionado à validação insuficiente de entradas no componente Core do Oracle WebLogic Server, permitindo que um invasor não autenticado com acesso à rede via T3 ou IIOP comprometa o servidor. Ataques bem-sucedidos podem resultar na tomada de controle do Oracle WebLogic Server. **Recomendações** Para as versões 12.2.1.4.0 e 14.1.1.0.0, atualize para uma versão que inclua a correção para este problema a fim de evitar a exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

Nome do software vulnerável e versões afetadas: Versões do Apache Linkis <=1.5.0 Descrição: O problema está relacionado à falta de filtragem eficaz dos parâmetros no módulo DataSource Manager do Apache Linkis. Isso permite que um invasor configure parâmetros `db2` maliciosos, resultando em injeção JNDI. Para que o ataque seja executado, o invasor precisa obter uma conta autorizada no Linkis. Recomendações: Para versões do Apache Linkis <=1.5.0, atualize o Linkis para a versão 1.6.0. Como solução temporária, considere colocar os parâmetros da URL do DB2 na lista negra para minimizar o risco de exploração. Restrinja o acesso ao Módulo DataSource Manager apenas a contas autorizadas.

**Nome do software vulnerável e versões afetadas** Apache Submarine Server Core (versões afetadas não especificadas) **Descrição** O problema está relacionado a uma vulnerabilidade de injeção de SQL devido à neutralização inadequada de elementos especiais utilizados em um comando SQL. Isso afeta produtos que não são mais suportados pelo mantenedor. Recomenda-se aos usuários que busquem uma alternativa ou restrinjam o acesso à instância a usuários confiáveis. **Recomendações** Como este projeto foi descontinuado e não há correção planejada, recomenda-se que os usuários busquem uma alternativa ao Apache Submarine Server Core. Restrinja o acesso à instância a usuários confiáveis para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Apache Submarine Commons Utils, versões 0.8.0 e posteriores **Descrição** O problema está relacionado a uma vulnerabilidade de autenticação inadequada no Apache Submarine Commons Utils. Se o usuário não definir explicitamente `submarine.auth.default.secret`, será utilizado um valor padrão. Essa vulnerabilidade afeta apenas produtos que não são mais suportados pelo mantenedor. Como o projeto foi descontinuado, nenhuma correção será lançada. **Recomendações** Para o Apache Submarine Commons Utils versões 0.8.0 e posteriores, recomenda-se que os usuários busquem uma alternativa ou restrinjam o acesso à instância a usuários confiáveis.

**Nome do software vulnerável e versões afetadas** Apache Submarine Server Core, versões 0.8.0 e posteriores **Descrição** O problema está relacionado a uma vulnerabilidade de autorização incorreta no Apache Submarine Server Core. Essa vulnerabilidade afeta apenas produtos que não são mais suportados pelo mantenedor. Recomenda-se que os usuários busquem uma alternativa ou restrinjam o acesso à instância a usuários confiáveis. **Recomendações** Como solução temporária, considere restringir o acesso à instância a usuários confiáveis até que uma solução alternativa seja encontrada. Encontre uma alternativa ao Apache Submarine Server Core, pois o projeto foi descontinuado e nenhuma correção será lançada.

**Nome do software vulnerável e versões afetadas** Apache InLong, versões 1.7.0 a 1.11.0 **Descrição** O problema está relacionado à desserialização de dados não confiáveis, permitindo que invasores contornem a segurança usando parâmetros maliciosos. **Recomendações** Para as versões 1.7.0 a 1.11.0 do Apache InLong, recomenda-se que os usuários atualizem para a versão 1.12.0 do Apache InLong ou selecionem os patches especificados para resolver o problema.

**Nome do software vulnerável e versões afetadas** Versões do Spring Framework anteriores à 5.3.34 Versões do Spring Framework anteriores à 6.0.19 Versões do Spring Framework anteriores à 6.1.6 **Descrição** A vulnerabilidade existe devido à validação insuficiente dos dados inseridos pelo usuário no componente UriComponentsBuilder do Spring Framework. Isso pode permitir que um invasor remoto execute um ataque de falsificação de solicitação do lado do servidor (SSRF). Aplicativos que utilizam o UriComponentsBuilder para analisar URLs fornecidas externamente e realizar verificações de validação no host são afetados. **Recomendações** Para versões do Spring Framework anteriores à 5.3.34, atualize para a versão 5.3.34 ou posterior. Para versões do Spring Framework anteriores à 6.0.19, atualize para a versão 6.0.19 ou posterior. Para versões do Spring Framework anteriores à 6.1.6, atualize para a versão 6.1.6 ou posterior.