Mateusz Dabrowski

**Name of the Vulnerable Software and Affected Versions** Aruba Networks ClearPass Policy Manager (affected versions not specified) **Description** Vulnerabilities in the web-based management interface of ClearPass Policy Manager allow an attacker with read-only privileges to perform actions that change the state of the ClearPass Policy Manager instance. Successful exploitation of these vulnerabilities allow an attacker to complete state-changing actions in the web-based management interface that should not be allowed by their current level of authorization on the platform. **Recommendations** At the moment, there is no information about a newer version that contains a fix for this vulnerability.

**Name of the Vulnerable Software and Affected Versions** IBM WebSphere Application Server versions 8.5 through 9.0 **Description** The issue is related to an XML External Entity Injection (XXE) attack when processing XML data. A remote attacker could exploit this to expose sensitive information or consume memory resources. **Recommendations** For IBM WebSphere Application Server versions 8.5 through 9.0, consider disabling XML processing or restricting access to sensitive data until a patch is available. As a temporary workaround, restrict the use of XML external entities to minimize the risk of exploitation.

**Name of the Vulnerable Software and Affected Versions** IBM WebSphere Application Server versions 8.5 through 9.0 **Description** The issue allows users to embed arbitrary JavaScript code in the Web UI, altering the intended functionality and potentially leading to credentials disclosure within a trusted session. This is due to a cross-site scripting vulnerability. **Recommendations** For IBM WebSphere Application Server versions 8.5 through 9.0, at the moment, there is no information about a newer version that contains a fix for this vulnerability.

**Name of the Vulnerable Software and Affected Versions** IBM WebSphere Application Server version 9.0 **Description** The issue allows users to embed arbitrary JavaScript code in the Web UI, altering the intended functionality and potentially leading to credentials disclosure within a trusted session. **Recommendations** For IBM WebSphere Application Server version 9.0, update to a version that includes a fix for this issue to prevent cross-site scripting attacks.

**Name of the Vulnerable Software and Affected Versions** Dell Unisphere for PowerMax vApp, VASA Provider vApp, and Solution Enabler vApp versions 10.0.0.5 and below **Description** The issue allows users to perform actions for which they are not authorized due to an authorization bypass. **Recommendations** For versions 10.0.0.5 and below, update to a version above 10.0.0.5 to resolve the issue.

**Nome do software vulnerável e versões afetadas** Veeam Management Pack para Microsoft System Center versão 8.0 **Descrição** Existe uma vulnerabilidade de XSS baseada em DOM refletido devido à proteção inadequada da estrutura da página da web. Isso poderia permitir que um invasor remoto realizasse ataques de cross-site scripting ao convencer um usuário legítimo a visitar uma URL maliciosa em um servidor do Veeam Management Pack para Microsoft System Center, possibilitando a execução de scripts arbitrários. **Recomendações** Para o Veeam Management Pack para Microsoft System Center versão 8.0, considere restringir o acesso ao diretório Help até que um patch esteja disponível. Como solução alternativa temporária, evite usar URLs criadas especificamente que possam explorar a vulnerabilidade XSS baseada em DOM refletida no diretório Help. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Oracle BI Publisher versões 11.1.1.9.0, 12.2.1.3.0, 12.2.1.4.0 **Descrição** O problema está relacionado à validação insuficiente de entradas no componente Mobile Service do Oracle BI Publisher, permitindo que um invasor não autenticado com acesso à rede via HTTP comprometa o sistema. Ataques bem-sucedidos requerem interação humana e podem resultar em acesso não autorizado a dados críticos, bem como acesso não autorizado para atualização, inserção ou exclusão de alguns dados. O impacto do ataque pode ser significativo, afetando não apenas o Oracle BI Publisher, mas também outros produtos. **Recomendações** Para as versões 11.1.1.9.0, 12.2.1.3.0 e 12.2.1.4.0, considere restringir o acesso ao componente Mobile Service até que uma correção esteja disponível. Como solução alternativa temporária, limite o uso do protocolo HTTP para operações confidenciais a fim de minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Oracle BI Publisher versões 11.1.1.9.0, 12.2.1.3.0, 12.2.1.4.0 **Descrição** O problema está relacionado à validação insuficiente de entradas no componente Mobile Service do Oracle BI Publisher, permitindo que um invasor não autenticado com acesso à rede via HTTP comprometa o sistema. Ataques bem-sucedidos requerem interação humana e podem impactar significativamente outros produtos, resultando em acesso não autorizado a dados críticos, acesso completo a todos os dados acessíveis pelo Oracle BI Publisher, bem como acesso não autorizado para atualização, inserção ou exclusão de alguns dos dados acessíveis pelo Oracle BI Publisher. **Recomendações** Para as versões 11.1.1.9.0, 12.2.1.3.0 e 12.2.1.4.0, considere restringir o acesso ao componente Mobile Service até que um patch esteja disponível. Como solução alternativa temporária, considere desativar o componente Mobile Service para minimizar o risco de exploração. Evite usar o produto Oracle BI Publisher afetado até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Oracle BI Publisher, versões 12.2.1.3.0 a 12.2.1.4.0 **Descrição** O problema está relacionado ao componente de segurança do Oracle BI Publisher, permitindo que um invasor não autenticado com acesso à rede via HTTP comprometa o sistema. Ataques bem-sucedidos requerem interação humana e podem impactar significativamente outros produtos, resultando em acesso não autorizado a dados críticos, acesso completo a todos os dados acessíveis pelo Oracle BI Publisher, bem como acesso não autorizado para atualização, inserção ou exclusão de alguns dos dados acessíveis pelo Oracle BI Publisher. A vulnerabilidade pode ser explorada para realizar um ataque de script entre sites (cross-site scripting). **Recomendações** Para as versões 12.2.1.3.0 e 12.2.1.4.0, considere aplicar medidas de segurança para proteger a estrutura da página da web e garantir a validação e sanitização adequadas das entradas do usuário, a fim de prevenir ataques de cross-site scripting. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Oracle Financial Services Analytical Applications Infrastructure, versões 8.0.6 a 8.1.0 **Descrição** O problema está relacionado a controles de acesso insuficientes no componente Infrastructure do Oracle Financial Services Analytical Applications Infrastructure. Isso permite que um invasor com privilégios limitados e acesso à rede via HTTP comprometa o sistema. Ataques bem-sucedidos podem resultar em acesso não autorizado a dados críticos, incluindo a criação, exclusão ou modificação de dados. **Recomendações** Para as versões 8.0.6 a 8.1.0, considere restringir o acesso ao componente Infrastructure até que uma correção esteja disponível. Como solução alternativa temporária, limite o uso do protocolo HTTP para acesso remoto a fim de minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Versões do Tenable.Sc anteriores à 5.14.0 **Descrição** A vulnerabilidade permite que um invasor remoto autenticado execute código de script arbitrário na sessão do navegador de um usuário por meio de um ataque XSS armazenado. Técnicas atualizadas de validação de entrada foram implementadas para corrigir essa vulnerabilidade. **Recomendações** Para versões anteriores à 5.14.0, atualize para a versão 5.14.0 ou posterior para resolver a vulnerabilidade.