Mohit Rawat

**Nome do software vulnerável e versões afetadas** Oracle Identity Manager, versões 11.1.2.2.0 a 12.2.1.4.0 **Descrição** A vulnerabilidade existe devido à validação insuficiente de entradas no componente Identity Console do Oracle Identity Manager. Isso pode ser explorado por um invasor remoto para criar, excluir ou modificar o acesso a dados críticos usando o protocolo HTTP. Ataques bem-sucedidos podem impactar significativamente outros produtos e resultar em acesso não autorizado a dados críticos ou acesso total a todos os dados acessíveis pelo Identity Manager, bem como acesso não autorizado para atualizar, inserir ou excluir alguns dos dados acessíveis pelo Identity Manager. **Recomendações** Para as versões 11.1.2.2.0 a 12.2.1.4.0, atualize para uma versão que inclua a correção para este problema a fim de evitar a exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Nagios Log Server versão 2.1.3 **Descrição** A vulnerabilidade permite ataques de cross-site scripting (XSS) ao explorar um campo de nome malicioso na página /profile, que é posteriormente processado incorretamente na página /admin/users. Isso permite que qualquer usuário mal-intencionado com acesso limitado armazene uma carga XSS no seu campo de nome. Quando um administrador visualiza essas informações, a carga XSS é acionada. **Recomendações** Para o Nagios Log Server versão 2.1.3, considere restringir o acesso à página /admin/users até que uma correção esteja disponível e evite usar o campo de nome na página /profile para armazenar entradas potencialmente maliciosas. Como solução alternativa temporária, considere validar e sanitizar as entradas do usuário no campo de nome para impedir o armazenamento de cargas XSS.

**Name of the Vulnerable Software and Affected Versions** Cloudera Manager versions 5.x through 5.15.0 **Description** An issue in Cloudera Manager allows for potential cross-site scripting (XSS) due to the lack of validation of the `returnUrl` parameter. This parameter is used to redirect the user to another page in Cloudera Manager after completing a wizard. As a result, an attacker could redirect the user to an external site or execute malicious JavaScript functions. The fix involves restricting the `returnUrl` parameter to prevent external redirects, with exceptions for explicitly configured SAML Login/Logout URLs. **Recommendations** For Cloudera Manager versions 5.x through 5.15.0, update the software to a version that includes the fix, which restricts the `returnUrl` parameter to prevent external redirects, allowing only explicitly configured SAML Login/Logout URLs as exceptions.

**Name of the Vulnerable Software and Affected Versions** IBM Cognos Analytics version 11.0 **Description** The issue allows users to embed arbitrary JavaScript code in the Web UI, altering the intended functionality and potentially leading to credentials disclosure within a trusted session. **Recommendations** For IBM Cognos Analytics version 11.0, update to a version that includes a fix for this issue to prevent cross-site scripting attacks.

**Name of the Vulnerable Software and Affected Versions** IBM Cognos Analytics version 11.0 **Description** The issue allows users to embed arbitrary JavaScript code in the Web UI, altering the intended functionality and potentially leading to credentials disclosure within a trusted session. **Recommendations** For IBM Cognos Analytics version 11.0, consider disabling the Web UI functionality until a patch is available to prevent potential exploitation.

**Name of the Vulnerable Software and Affected Versions** IBM Cognos Analytics version 11.0 **Description** The issue allows users to embed arbitrary JavaScript code in the Web UI, altering the intended functionality and potentially leading to credentials disclosure within a trusted session. **Recommendations** For IBM Cognos Analytics version 11.0, update to a version that includes the fix for the issue, as referenced in IBM Reference #: 1998887.

**Name of the Vulnerable Software and Affected Versions** IBM Cognos Business Intelligence versions 10.1.1 before IF19 IBM Cognos Business Intelligence versions 10.2 before IF20 IBM Cognos Business Intelligence versions 10.2.1 before IF17 IBM Cognos Business Intelligence versions 10.2.1.1 before IF16 IBM Cognos Business Intelligence versions 10.2.2 before IF12 **Description** A cross-site scripting (XSS) issue allows remote authenticated users to inject arbitrary web script or HTML via a crafted URL. This can lead to the execution of malicious code on the user's browser. **Recommendations** For IBM Cognos Business Intelligence version 10.1.1, update to IF19 or later. For IBM Cognos Business Intelligence version 10.2, update to IF20 or later. For IBM Cognos Business Intelligence version 10.2.1, update to IF17 or later. For IBM Cognos Business Intelligence version 10.2.1.1, update to IF16 or later. For IBM Cognos Business Intelligence version 10.2.2, update to IF12 or later.