Li Jiakun

**Nome do software vulnerável e versões afetadas** Versões 2.0.0 a 4.0.3 do Apache Kylin **Descrição** O problema diz respeito à interface web Server Config no Apache Kylin, que exibe o conteúdo do arquivo `kylin.properties`. Esse arquivo pode conter credenciais do lado do servidor. Quando o serviço Kylin é executado via HTTP ou outros protocolos de texto simples, é possível que sniffers de rede interceptem a carga útil HTTP e acessem o conteúdo do `kylin.properties`, obtendo potencialmente as credenciais contidas nele. **Recomendações** * Para as versões 2.0.0 a 4.0.3, ative sempre o HTTPS para criptografar a carga de rede. * Para as versões 2.0.0 a 4.0.3, evite colocar credenciais no `kylin.properties`, ou pelo menos não em texto simples. * Para as versões 2.0.0 a 4.0.3, use firewalls de rede para proteger o lado do servidor, tornando-o inacessível a invasores externos. * Atualize para a versão Apache Kylin 4.0.4, que filtra o conteúdo confidencial que vai para a interface web Server Config.

**Name of the Vulnerable Software and Affected Versions** isoftforce Dreamer CMS version 4.0.1 **Description** A permissions issue allows local attackers to obtain sensitive information via the `AttachmentController` parameter. This issue can be exploited to gain access to restricted data. **Recommendations** For isoftforce Dreamer CMS version 4.0.1, consider restricting access to the `AttachmentController` parameter until a patch is available. As a temporary workaround, review and limit local access to sensitive information to minimize the risk of exploitation. At the moment, there is no information about a newer version that contains a fix for this vulnerability.