Matteo Brutti

**Nome do software vulnerável e versões afetadas: Wowza Streaming Engine, versões 4.8.11+5 a 4.8.13 Descrição: Uma vulnerabilidade do tipo Cross-Site Request Forgery (CSRF) permite que um invasor remoto exclua uma conta de usuário por meio do endpoint da API “/enginemanager/server/user/delete.htm”, utilizando o parâmetro `userName`. O aplicativo não implementa um token CSRF para a solicitação GET. Recomendações: Para as versões 4.8.11+5 a 4.8.13, atualize para a versão 4.8.14 do Wowza Streaming Engine para resolver o problema. Como solução alternativa temporária, considere restringir o acesso ao endpoint da API “/enginemanager/server/user/delete.htm” para minimizar o risco de exploração. Evite usar o parâmetro `userName` no endpoint da API afetado até que o problema seja resolvido.

**Nome do software vulnerável e versões afetadas: IBM InfoSphere Information Server versão 8.5.0.0 Descrição: O problema está relacionado à desserialização de dados não confiáveis, o que poderia permitir que invasores remotos não autenticados executassem código arbitrário. Esse problema afeta apenas produtos que não são mais suportados pelo mantenedor. Recomendações: Para o IBM InfoSphere Information Server versão 8.5.0.0, no momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.