Maksym Brzęczek

**Nome do Software Vulnerável e Versões Afetadas** Versões do Wyn Enterprise anteriores a 8.0.00204.0 **Descrição** A funcionalidade de geração de relatórios no Wyn Enterprise permite a inclusão de código, mas não limita suficientemente qual código pode ser incluído. Um atacante pode utilizar uma conta com baixos privilégios para abusar dessa funcionalidade, executar código malicioso, carregar bibliotecas DLL e executar comandos do sistema operacional em um sistema host com os privilégios elevados da aplicação. **Recomendações** Para versões anteriores a 8.0.00204.0, atualize para a versão 8.0.00204.0 para corrigir o problema. Como medida paliativa temporária, considere restringir o acesso à funcionalidade de geração de relatórios para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Versões do Ant Media Server Community Edition anteriores à 2.9.0 **Descrição** O problema está relacionado a uma autorização baseada em cabeçalhos HTTP inadequada, permitindo o uso de chamadas de API não administrativas reservadas a usuários autorizados. **Recomendações** Para versões anteriores à 2.9.0, considere restringir o acesso aos pontos de extremidade da API até que um patch esteja disponível. Como solução temporária, revise e limite o uso de cabeçalhos HTTP para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Name of the Vulnerable Software and Affected Versions** Apereo CAS versions through 7.0.0-RC7 **Description** The issue is related to an Improper Authentication vulnerability in the jakarta.servlet.http.HttpServletRequest.getRemoteAddr method, which allows Multi-Factor Authentication bypass. There is no patch available for this issue, and the vendor does not consider it a vulnerability. **Recommendations** For Apereo CAS versions through 7.0.0-RC7, as a temporary workaround, consider restricting access to the `jakarta.servlet.http.HttpServletRequest.getRemoteAddr` method until a patch is available or the issue is resolved. At the moment, there is no information about a newer version that contains a fix for this vulnerability.