Michele Romano

**Nome do software vulnerável e versões afetadas** Aplicativo Web IBM Aspera versão 1.9.14 PL1 **Descrição** A vulnerabilidade permite que usuários insiram código JavaScript arbitrário na interface de usuário da Web, alterando a funcionalidade pretendida e podendo levar à divulgação de credenciais dentro de uma sessão confiável. **Recomendações** Para o IBM Aspera Web Application versão 1.9.14 PL1, atualize para uma versão que corrija este problema a fim de evitar ataques de cross-site scripting.

**Nome do software vulnerável e versões afetadas** Versões 2.218 e anteriores do Jenkins Versões LTS 2.204.1 e anteriores do Jenkins **Descrição** A vulnerabilidade permite ataques de clickjacking devido à ausência do cabeçalho HTTP `X-Frame-Options: deny` nas respostas da API REST. Um invasor poderia explorar essa vulnerabilidade induzindo um usuário a realizar uma ação em uma página da web especialmente criada para esse fim, que incorpora um endpoint da API REST em um iframe, permitindo potencialmente que o invasor obtenha o conteúdo desse endpoint. **Recomendações** Para as versões 2.218 e anteriores do Jenkins, atualize para a versão 2.219 ou posterior. Para as versões 2.204.1 e anteriores do Jenkins LTS, atualize para a versão 2.204.2 ou posterior.