Maxence Schmitt

**Nome do software vulnerável e versões afetadas** IBM DataPower Gateway versões 10.0.1, 2018.4.1 e V10CD **Descrição** A vulnerabilidade permite que um invasor execute ações maliciosas e não autorizadas transmitidas por um usuário em quem o site confia, devido a uma vulnerabilidade de falsificação de solicitação entre sites (CSRF). **Recomendações** Para o IBM DataPower Gateway versão 10.0.1, atualize para uma versão que inclua uma correção para este problema. Para o IBM DataPower Gateway versão 2018.4.1, atualize para uma versão que inclua uma correção para este problema. Para o IBM DataPower Gateway versão V10CD, atualize para uma versão que inclua uma correção para este problema.

**Nome do software vulnerável e versões afetadas** IBM DataPower Gateway, versões 10.0.1.0 a 10.0.1.8 IBM DataPower Gateway, versões 10.0.2.0 a 10.0.4.0 IBM DataPower Gateway versão 10.5.0.0 IBM DataPower Gateway versões 2018.4.1.0 a 2018.4.1.21 **Descrição** Esta vulnerabilidade permite que usuários insiram código JavaScript arbitrário na interface de usuário da Web, alterando a funcionalidade pretendida e potencialmente levando à divulgação de credenciais dentro de uma sessão confiável. **Recomendações** Para as versões 10.0.1.0 a 10.0.1.8, atualize para uma versão corrigida para resolver o problema. Para as versões 10.0.2.0 a 10.0.4.0, atualize para uma versão corrigida para resolver o problema. Para a versão 10.5.0.0, atualize para uma versão corrigida para resolver o problema. Para as versões 2018.4.1.0 a 2018.4.1.21, atualize para uma versão corrigida para resolver o problema. Como solução alternativa temporária, considere restringir o acesso à interface de usuário da Web para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** IBM DataPower Gateway, versões 10.0.1.0 a 10.0.1.8 IBM DataPower Gateway, versões 10.0.2.0 a 10.0.4.0 IBM DataPower Gateway versão 10.5.0.0 IBM DataPower Gateway versões 2018.4.1.0 a 2018.4.1.21 **Descrição** O problema está relacionado a um ataque de injeção de entidade externa XML (XXE) durante o processamento de dados XML. Um invasor remoto poderia explorar essa vulnerabilidade para expor informações confidenciais ou consumir recursos de memória. **Recomendações** Para as versões 10.0.1.0 a 10.0.1.8, atualize para uma versão que inclua a correção para a vulnerabilidade de injeção de entidade externa XML. Para as versões 10.0.2.0 a 10.0.4.0, atualize para uma versão que inclua a correção para a vulnerabilidade de injeção de entidade externa XML. Para a versão 10.5.0.0, atualize para uma versão que inclua a correção para a vulnerabilidade de injeção de entidade externa XML. Para as versões 2018.4.1.0 a 2018.4.1.21, atualize para uma versão que inclua a correção para a vulnerabilidade de injeção de entidade externa XML.

**Nome do software vulnerável e versões afetadas** IBM DataPower Gateway, versões 10.0.1.0 a 10.0.1.8 IBM DataPower Gateway, versões 10.0.2.0 a 10.0.4.0 IBM DataPower Gateway versão 10.5.0.0 IBM DataPower Gateway versões 2018.4.1.0 a 2018.4.1.21 **Descrição** O problema está relacionado à falsificação de solicitação do lado do servidor (SSRF), o que pode permitir que um invasor autenticado envie solicitações não autorizadas a partir do sistema. Isso poderia potencialmente levar à enumeração de rede ou facilitar outros ataques. **Recomendações** Para as versões 10.0.1.0 a 10.0.1.8, atualize para uma versão fora desse intervalo para resolver o problema. Para as versões 10.0.2.0 a 10.0.4.0, atualize para uma versão fora desse intervalo para resolver o problema. Para a versão 10.5.0.0, atualize para uma versão mais recente para resolver o problema. Para as versões 2018.4.1.0 a 2018.4.1.21, atualize para uma versão fora desse intervalo para resolver o problema.

**Nome do software vulnerável e versões afetadas** IBM DataPower Gateway, versões 10.0.1.0 a 10.0.1.8 IBM DataPower Gateway, versões 10.0.2.0 a 10.0.4.0 IBM DataPower Gateway versão 10.5.0.0 IBM DataPower Gateway versões 2018.4.1.0 a 2018.4.1.21 **Descrição** Esta vulnerabilidade permite que usuários insiram código JavaScript arbitrário na interface de usuário da Web, alterando a funcionalidade pretendida e potencialmente levando à divulgação de credenciais dentro de uma sessão confiável. **Recomendações** Para as versões 10.0.1.0 a 10.0.1.8, atualize para uma versão corrigida para resolver o problema. Para as versões 10.0.2.0 a 10.0.4.0, atualize para uma versão corrigida para resolver o problema. Para a versão 10.5.0.0, atualize para uma versão corrigida para resolver o problema. Para as versões 2018.4.1.0 a 2018.4.1.21, atualize para uma versão corrigida para resolver o problema. Como solução alternativa temporária, considere restringir o acesso à interface de usuário da Web para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Versões do ForgeRock Access Management anteriores à 7.1.1 Versões do ForgeRock Access Management 6.5 anteriores à 6.5.4 Versões do ForgeRock Access Management anteriores à 6.5 **Descrição** O problema está relacionado à falta de controle de acesso, permitindo que invasores remotos não autenticados sequestrem sessões, incluindo, potencialmente, sessões de nível administrativo. **Recomendações** Para versões do ForgeRock Access Management anteriores à 7.1.1, atualize para a versão 7.1.1 ou posterior. Para versões do ForgeRock Access Management 6.5 anteriores à 6.5.4, atualize para a versão 6.5.4 ou posterior. Para versões do ForgeRock Access Management anteriores à 6.5, atualize para a versão 6.5 ou posterior.