Liyw979

**Nome do Software Vulnerável e Versões Afetadas** Ambari (versões afetadas não especificadas) **Descrição** Existe uma vulnerabilidade de injeção de código na funcionalidade de Definição de Alerta do Ambari, permitindo que usuários autenticados injetem e executem comandos shell arbitrários. A vulnerabilidade ocorre ao definir scripts de alerta, onde o campo de nome de arquivo do script é executado usando `sh -c`. Um atacante com acesso autenticado pode explorar esta vulnerabilidade para injetar comandos maliciosos, resultando em execução remota de código no servidor. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Versões do Spring Cloud Data Flow anteriores à 2.11.4 **Descrição** Um usuário mal-intencionado com acesso à API do servidor Skipper pode usar uma solicitação de upload maliciosa para gravar um arquivo arbitrário em qualquer local do sistema de arquivos, o que pode comprometer o servidor. O problema está relacionado ao gerenciamento incorreto da geração de código. A exploração da vulnerabilidade pode permitir que um invasor remoto grave um arquivo em qualquer diretório do sistema usando uma solicitação de API especialmente formulada. **Recomendações** Para versões do Spring Cloud Data Flow anteriores à 2.11.4, atualize para a versão 2.11.4 ou posterior para resolver o problema. Como solução alternativa temporária, considere restringir o acesso à API do servidor Skipper para minimizar o risco de exploração. Evite usar a API para fazer upload de arquivos para locais confidenciais no servidor até que o problema seja resolvido.