Mr-N30

**Nome do software vulnerável e versões afetadas** Versões do Apache Druid de 0.18.0 a 30.0.0 **Descrição** O problema é uma vulnerabilidade do tipo Padding Oracle na extensão do Apache Druid, druid-pac4j, que poderia permitir que um invasor manipulasse um cookie de sessão pac4j. Como a extensão druid-pac4j é opcional e desativada por padrão, as instalações do Druid que não utilizam a extensão druid-pac4j não são afetadas por este problema. Embora não haja nenhuma maneira conhecida de explorar essa falha de forma significativa, recomenda-se tomar precauções. **Recomendações** Para as versões 0.18.0 a 30.0.0 do Apache Druid, atualize para a versão 30.0.1 ou superior para corrigir o problema. Certifique-se de definir uma senha forte para `druid.auth.pac4j.cookiePassphrase` como precaução.

**Name of the Vulnerable Software and Affected Versions** Dispatch versions prior to 20230817 **Description** Dispatch is an open source security incident management tool. The server response includes the JWT Secret Key used for signing JWT tokens in error message when the `Dispatch Plugin - Basic Authentication Provider` plugin encounters an error when attempting to decode a JWT token. Any Dispatch users who own their instance and rely on the `Dispatch Plugin - Basic Authentication Provider` plugin for authentication may be impacted, allowing for any account to be taken over within their own instance. This could be done by using the secret to sign attacker crafted JWTs. **Recommendations** To resolve the issue, rotate the secret stored in the `DISPATCH JWT SECRET` envvar in the `.env` file. Upgrade to the 20230817 release or later, which includes the fix for this issue.