M1Sn0W

**Nome do software vulnerável e versões afetadas** Versões do Apache OFBiz até a 18.12.14 **Descrição** Este problema afeta o Apache OFBiz, permitindo que terminais não autenticados executem código de renderização de telas caso sejam atendidas determinadas condições prévias, como quando as definições das telas não verificam explicitamente as permissões do usuário. A vulnerabilidade está relacionada a uma autorização incorreta e pode levar à execução remota de código. Ela está sendo ativamente explorada, e exploits de prova de conceito estão disponíveis. **Recomendações** Versões do Apache OFBiz até 18.12.14: atualize para a versão 18.12.15 para resolver o problema. Como solução alternativa temporária, considere restringir o acesso a terminais não autenticados para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Confluence Data Center e Server, versões 7.19.0 a 7.19.16 Confluence Data Center e Server, versões 8.5.0 a 8.5.4 Confluence Data Center, versões 8.7.0 a 8.7.1 **Descrição** O problema está relacionado à validação insuficiente de entradas, permitindo que um invasor remoto execute código arbitrário. Isso tem alto impacto na confidencialidade, integridade e disponibilidade, e não requer interação do usuário. A vulnerabilidade foi descoberta por m1sn0w e relatada por meio do programa Bug Bounty. **Recomendações** Para o Confluence Data Center e Server versão 7.19: Atualize para a versão 7.19.17 ou qualquer versão 7.19.x superior Para o Confluence Data Center e Server versão 8.5: Atualize para a versão 8.5.5 ou qualquer versão 8.5.x superior Para o Confluence Data Center versão 8.7: Atualize para a versão 8.7.2 ou qualquer versão superior

**Name of the Vulnerable Software and Affected Versions** Crowd Data Center and Server version 3.4.6 Crowd Data Center and Server versions prior to 5.1.6 Crowd Data Center and Server versions prior to 5.2.1 **Description** This issue allows an authenticated attacker to execute arbitrary code, which has a high impact on confidentiality, integrity, and availability, and requires no user interaction. The vulnerability was discovered by m1sn0w and reported via the Bug Bounty program. **Recommendations** For Crowd Data Center and Server 3.4, upgrade to a release greater than or equal to 5.1.6. For Crowd Data Center and Server 5.2, upgrade to a release greater than or equal to 5.2.1. If you are unable to upgrade to the latest version, consider upgrading your instance to one of the specified supported fixed versions.