Massimiliano Brolli

**Name of the Vulnerable Software and Affected Versions** Microchip Time Provider 4100 versions prior to 2.5.0 **Description** A use of hard-coded credentials issue exists in Microchip Time Provider 4100, potentially allowing for malicious manual software updates. **Recommendations** Update Microchip Time Provider 4100 to version 2.5.0 or later.

**Nome do Software Vulnerável e Versões Afetadas** Microchip Time Provider 4100 versões anteriores à 2.5 **Descrição** Existe uma vulnerabilidade de neutralização imprópria de elementos especiais utilizados em um comando SQL ('SQL Injection') no Microchip Time Provider 4100. Isso permite a Injeção de SQL. A vulnerabilidade está presente no recurso web. O comando `SQL` não é devidamente sanitizado, potencialmente permitindo que um atacante injete código malicioso. **Recomendações** Atualize o Microchip Time Provider 4100 para a versão 2.5 ou superior.

**Nome do Software Vulnerável e Versões Afetadas** Microchip Time Provider 4100 versões anteriores à 2.5 **Descrição** Existe uma vulnerabilidade de neutralização inadequada de elementos especiais utilizados em um comando do SO no Microchip Time Provider 4100, permitindo a injeção de comandos do SO. Este problema está relacionado à execução remota de código por meio da senha de configuração de backup. **Recomendações** Atualize para uma versão superior à 2.5.

**Nome do Software Vulnerável e Versões Afetadas** Microchip Time Provider 4100 versões anteriores à 2.5 **Descrição** Existe uma vulnerabilidade de neutralização imprópria de elementos especiais usados em um comando do SO ('Injeção de Comando do SO') no Microchip Time Provider 4100. Isso permite a Injeção de Comando do SO. O problema está relacionado à restauração da senha de configuração. **Recomendações** Atualize o Microchip Time Provider 4100 para a versão 2.5 ou posterior.

**Nome do Software Vulnerável e Versões Afetadas** Microchip Time Provider 4100 versões anteriores à 2.5 **Descrição** Existe uma falha no Microchip Time Provider 4100 que permite atualizações manuais de software maliciosas devido à falta de verificação de integridade durante o download do código. **Recomendações** Atualize para a versão 2.5 ou posterior.

**Nome do Software Vulnerável e Versões Afetadas** Eclipse GlassFish versão 7.0.15 **Descrição** O Eclipse GlassFish versão 7.0.15 está suscetível a ataques de Cross-site scripting armazenado no Console de Administração. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** Eclipse GlassFish versão 7.0.15 **Descrição** O Eclipse GlassFish versão 7.0.15 está suscetível a ataques de Cross-site Scripting refletido no Console de Administração. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** Eclipse GlassFish versão 7.0.15 **Descrição** Eclipse GlassFish versão 7.0.15 está suscetível a ataques de Cross-site scripting armazenado no Console de Administração. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** Eclipse GlassFish versão 7.0.15 **Descrição** O Eclipse GlassFish versão 7.0.15 é suscetível a ataques de Cross-site Scripting Armazenado. Os ataques podem ser realizados mediante a modificação do arquivo de configuração no sistema operacional subjacente. **Recomendações** Modifique o arquivo de configuração para impedir a injeção de scripts maliciosos.

**Nome do Software Vulnerável e Versões Afetadas** Eclipse GlassFish versões 7.0.16 e anteriores **Descrição** O Eclipse GlassFish está suscetível a ataques de força bruta no login devido à ausência de restrições quanto ao número de tentativas de login falhas. **Recomendações** Aplique uma configuração para limitar o número de tentativas de login falhas.

Nome do Software Vulnerável e Versões Afetadas: Versões do Puppet Enterprise de 2018.1.8 a 2023.8.3 Versão do Puppet Enterprise 2025.3 Descrição: Um usuário com permissões específicas de edição de grupo de nós e um `parâmetro de classe` especialmente construído poderia executar comandos como root no host primário. Recomendações: Para as versões do Puppet Enterprise de 2018.1.8 a 2023.8.3, atualize para a versão 2023.8.4. Para a versão do Puppet Enterprise 2025.3, atualize para a versão 2025.4.0.

**Nome do Software Vulnerável e Versões Afetadas** Versões do Oracle Database Server 19.3 a 19.26 Versões do Oracle Database Server 21.3 a 21.17 Versões do Oracle Database Server 23.4 a 23.7 **Descrição** O problema está relacionado ao componente XML Database, permitindo que um atacante com baixos privilégios e acesso à rede via HTTP comprometa o XML Database. Ataques bem-sucedidos requerem interação humana e podem resultar em acesso não autorizado para atualização, inserção ou exclusão de alguns dados acessíveis pelo XML Database, bem como acesso não autorizado de leitura a um subconjunto de dados acessíveis pelo XML Database. **Recomendações** Para as versões 19.3 a 19.26, atualize para uma versão fora deste intervalo para resolver o problema. Para as versões 21.3 a 21.17, atualize para uma versão fora deste intervalo para resolver o problema. Para as versões 23.4 a 23.7, atualize para uma versão fora deste intervalo para resolver o problema. Como medida de contorno temporária, considere restringir o acesso ao componente XML Database para minimizar o risco de exploração.

**Nome do Software Vulnerável e Versões Afetadas** Versões do Payara Server de 4.1.2.1919.1 até 4.1.2.191.51 Versões do Payara Server de 5.20.0 até 5.68.0 Versões do Payara Server de 6.0.0 até 6.23.0 Versões do Payara Server de 6.2022.1 até 6.2025.2 **Descrição** O problema afeta o Payara Server, permitindo inclusão de código remoto devido à neutralização inadequada de entrada durante a geração de páginas web, também conhecido como cross-site scripting. **Recomendações** Para as versões do Payara Server de 4.1.2.1919.1 até 4.1.2.191.51, atualize para a versão 4.1.2.191.51 ou posterior. Para as versões do Payara Server de 5.20.0 até 5.68.0, atualize para a versão 5.68.0 ou posterior. Para as versões do Payara Server de 6.0.0 até 6.23.0, atualize para a versão 6.23.0 ou posterior. Para as versões do Payara Server de 6.2022.1 até 6.2025.2, atualize para a versão 6.2025.2 ou posterior.

Nome do Software Vulnerável e Versões Afetadas: Italtel S.p.A. i-MCS NFV versão 12.1.0-20211215 Descrição: O problema consiste em uma vulnerabilidade de cross-site scripting (XSS) que permite a atacantes remotos não autenticados injetar script web arbitrário ou HTML em parâmetros HTTP/POST. Isso pode ser explorado por atacantes para executar scripts maliciosos no navegador da vítima. Recomendações: Para o Italtel S.p.A. i-MCS NFV versão 12.1.0-20211215, considere restringir o acesso aos parâmetros HTTP/POST para minimizar o risco de exploração até que um patch esteja disponível. Como solução alternativa temporária, evite utilizar parâmetros vulneráveis nos endpoints de API afetados até que o problema seja resolvido. Atualmente, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

Nome do Software Vulnerável e Versões Afetadas: BMC Remedy Mid Tier versão 7.6.04 Descrição: A aplicação web do BMC Remedy Mid Tier permite Injeção de HTML Armazenada por atacantes remotos autenticados. Recomendações: Para o BMC Remedy Mid Tier versão 7.6.04, considere restringir o acesso à aplicação web até que um patch esteja disponível. Como solução temporária, limite a capacidade de atacantes remotos autenticados de injetar código HTML. Atualmente, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** Wildfly (versões afetadas não especificadas) **Descrição** Foi encontrada uma falha na integração do Wildfly Elytron, na qual o componente não implementa medidas suficientes para impedir múltiplas tentativas de autenticação malsucedidas em um curto intervalo de tempo. Isso o torna mais suscetível a ataques de força bruta via Interface de Linha de Comando (CLI). **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** Versões do WildFly anteriores à 27.0.1.Final **Descrição** Foi encontrada uma falha no provedor de Controle de Acesso Baseado em Funções (RBAC) do Servidor WildFly. Quando a autorização para controlar operações de gerenciamento é protegida usando o provedor de Controle de Acesso Baseado em Funções, um usuário sem os privilégios necessários pode suspender ou retomar o servidor. Um usuário com a função de Monitor ou Auditor deveria ter apenas permissões de acesso somente leitura e não deveria ser capaz de suspender o servidor. A vulnerabilidade é causada pelo fato de os manipuladores de Suspensão e Retomada não realizarem verificações de autorização para validar se o usuário atual possui as permissões necessárias para prosseguir com a ação. **Recomendações** Para versões anteriores à 27.0.1.Final, atualize para o WildFly Core 27.0.1.Final para resolver o problema. Como solução temporária, considere restringir o acesso aos manipuladores de Suspensão e Retomada até que uma correção esteja disponível. Restrinja o acesso às operações de gerenciamento para minimizar o risco de exploração.

**Name of the Vulnerable Software and Affected Versions** Wildfly component versions prior to HAL 3.7.7.Final **Description** A flaw was found in the HAL Console in the Wildfly component, which does not neutralize or incorrectly neutralizes user-controllable input before it is placed in output used as a web page that is served to other users. The attacker must be authenticated as a user that belongs to management groups “SuperUser”, “Admin”, or “Maintainer”. This issue can lead to a cross-site scripting (XSS) vulnerability in the management console. **Recommendations** For versions prior to HAL 3.7.7.Final, update to HAL 3.7.7.Final to resolve the issue. As a temporary workaround, consider restricting access to the management console for users belonging to the “SuperUser”, “Admin”, or “Maintainer” groups until the update is applied.

**Nome do software vulnerável e versões afetadas** IBM Workload Scheduler, versões 9.5 a 10.2 **Descrição** O problema está relacionado ao armazenamento de senhas em texto simples. Isso poderia permitir que um invasor divulgasse informações protegidas. Um usuário local pode ler as credenciais de usuário armazenadas em texto simples. **Recomendações** Para as versões 9.5 a 10.2, atualize para uma versão que armazene as credenciais do usuário de forma segura, evitando o armazenamento em texto simples. Como solução alternativa temporária, considere restringir o acesso às áreas onde as credenciais são armazenadas para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Microchip TimeProvider 4100, versões 1.0 e posteriores **Descrição** O problema está relacionado a uma vulnerabilidade de redirecionamento de URL para um site não confiável (“Open Redirect”), que permite ataques XSS por meio de cabeçalhos HTTP. Isso pode levar a problemas de segurança, pois possibilita atividades maliciosas por meio de cabeçalhos HTTP. **Recomendações** Para o Microchip TimeProvider 4100 versões 1.0 e posteriores, considere desativar a funcionalidade de processamento de cabeçalhos HTTP até que uma correção esteja disponível. Restrinja o acesso ao sistema afetado para minimizar o risco de exploração. Evite usar o sistema vulnerável para operações confidenciais até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.