Miceg

**Nome do software vulnerável e versões afetadas** Versões do Fastapi OPA anteriores à 2.0.1 **Descrição** A vulnerabilidade permite que invasores não autenticados descubram quais entidades existem dentro de um aplicativo enviando solicitações HTTP `OPTIONS`. Isso ocorre porque o `OpaMiddleware` permite todas as solicitações HTTP `OPTIONS` sem avaliá-las em relação a qualquer política. Se um aplicativo fornecer respostas diferentes para solicitações HTTP `OPTIONS` com base na existência de uma entidade, um invasor poderia explorar isso para obter informações sobre o estado interno do aplicativo. **Recomendações** Para versões anteriores à 2.0.1, atualize para a versão 2.0.1 para resolver o problema. Como solução alternativa temporária, considere restringir o acesso à função `read item options` ou modificar a aplicação para que ela não forneça respostas diferentes às solicitações HTTP `OPTIONS` com base na existência da entidade. Evite usar o cabeçalho `Allow` na função `read item options` para indicar a capacidade de gravação da entidade até que o problema seja resolvido.

**Nome do software vulnerável e versões afetadas** Versões do GeoServer 2.10.0 a 2.24.3 Versões do GeoServer 2.25.0 **Descrição** O problema diz respeito à página de status do servidor do GeoServer e à API REST, que exibem todas as variáveis de ambiente e propriedades Java a qualquer usuário do GeoServer com direitos administrativos. Essas variáveis/propriedades podem conter informações confidenciais, como senhas de banco de dados ou chaves/tokens de API. O escopo exato do problema depende da imagem do contêiner utilizada e de sua configuração. O endpoint da API `about status`, que alimenta a página de Status do Servidor, está disponível apenas para administradores. Por padrão, o GeoServer permite apenas acesso à API autenticado da mesma origem, limitando a possibilidade de um invasor externo usar as credenciais de um administrador para obter acesso às credenciais. **Recomendações** Para as versões 2.10.0 a 2.24.3 do GeoServer, atualize para a versão 2.24.4 para obter a correção do bug. Para a versão 2.25.0 do GeoServer, atualize para a versão 2.25.1 para obter a correção do bug. Como solução alternativa, mantenha as variáveis de ambiente e as propriedades do sistema Java ocultas por padrão. Se houver a opção de reativá-las, comunique o impacto e os riscos para que os usuários possam fazer uma escolha informada. As imagens de contêiner devem adotar uma “defesa em profundidade” para limitar o impacto quando configuradas para exibir variáveis de ambiente e/ou propriedades. Passe segredos para o contêiner como arquivos ou referências a um segredo armazenado nos metadados de um provedor de nuvem ou em um serviço de gerenciamento de segredos. Certifique-se de que qualquer arquivo de configuração