Nadeem Douba

**Nome do Software Vulnerável e Versões Afetadas** Versões do JD Edwards EnterpriseOne Tools anteriores à 9.2.9.0 **Descrição** O problema está relacionado a um componente do JD Edwards EnterpriseOne Tools, especificamente o Web Runtime SEC. Pode ser facilmente explorado, permitindo que um atacante não autenticado com acesso à rede via HTTP comprometa o sistema. Ataques bem-sucedidos podem resultar em acesso não autorizado a dados críticos ou acesso completo a todos os dados acessíveis. A vulnerabilidade pode ser explorada usando uma solicitação HTTP especialmente criada. **Recomendações** Para versões anteriores à 9.2.9.0, atualize para a versão 9.2.9.0 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso ao componente Web Runtime SEC para minimizar o risco de exploração. Além disso, limite o acesso à rede via HTTP apenas a fontes necessárias para reduzir a superfície de ataque.

**Nome do Software Vulnerável e Versões Afetadas** Versões do JD Edwards EnterpriseOne Tools anteriores à 9.2.9.0 **Descrição** O problema está relacionado à falta de autenticação para uma função crítica no componente Web Runtime SEC do JD Edwards EnterpriseOne Tools. Isso pode ser explorado por um atacante remoto mediante o uso de uma solicitação HTTP especialmente criada, impactando potencialmente a confidencialidade, integridade e disponibilidade das informações protegidas. Ataques bem-sucedidos podem resultar na tomada de controle do JD Edwards EnterpriseOne Tools. **Recomendações** Para versões anteriores à 9.2.9.0, atualize para a versão 9.2.9.0 ou posterior para resolver o problema. Como medida temporária, considere restringir o acesso ao componente Web Runtime SEC para minimizar o risco de exploração. Além disso, limite o acesso de rede via HTTP para reduzir a superfície de ataque.

**Nome do Software Vulnerável e Versões Afetadas** Versões do JD Edwards EnterpriseOne Tools anteriores à 9.2.9.0 **Descrição** O problema está relacionado à falta de autorização no componente Design Tools SEC. Ele pode ser facilmente explorado, permitindo que um invasor não autenticado com acesso à rede via HTTP comprometa o JD Edwards EnterpriseOne Tools. Ataques bem-sucedidos requerem interação humana de uma pessoa que não seja o invasor e podem impactar significativamente produtos adicionais. Os ataques podem resultar em acesso não autorizado para atualização, inserção ou exclusão de alguns dos dados acessíveis do JD Edwards EnterpriseOne Tools, bem como acesso não autorizado de leitura a um subconjunto dos dados acessíveis do JD Edwards EnterpriseOne Tools. **Recomendações** Para versões anteriores à 9.2.9.0, atualize para a versão 9.2.9.0 ou posterior para resolver o problema. Como medida temporária, considere restringir o acesso ao componente Design Tools SEC via HTTP para minimizar o risco de exploração. Além disso, restrinja o acesso a dados sensíveis e implemente controles rigorosos de autorização para prevenir acesso não autorizado.

**Nome do Software Vulnerável e Versões Afetadas** Versões do JD Edwards EnterpriseOne Tools anteriores à 9.2.9.0 **Descrição** A falha permite que um atacante não autenticado, com acesso à rede via HTTP, comprometa o JD Edwards EnterpriseOne Tools, resultando em acesso não autorizado a dados críticos ou acesso completo a todos os dados acessíveis do JD Edwards EnterpriseOne Tools. A vulnerabilidade pode ser facilmente explorada e está relacionada à divulgação de informações devido a uma inconsistência. **Recomendações** Para versões anteriores à 9.2.9.0, atualize para a versão 9.2.9.0 ou posterior para resolver o problema. Como medida paliativa temporária, considere restringir o acesso ao componente Web Runtime SEC até que uma correção esteja disponível.

**Nome do software vulnerável e versões afetadas** Versões do JD Edwards EnterpriseOne Tools anteriores à 9.2.9.0 **Descrição** O problema está relacionado a uma vulnerabilidade no componente Web Runtime SEC do JD Edwards EnterpriseOne Tools, que pode ser facilmente explorada. Essa vulnerabilidade permite que um invasor com privilégios limitados e acesso à rede via HTTP comprometa o JD Edwards EnterpriseOne Tools. Ataques bem-sucedidos requerem interação humana de uma pessoa que não seja o invasor. A vulnerabilidade pode resultar em acesso não autorizado para atualização, inserção ou exclusão de alguns dos dados acessíveis do JD Edwards EnterpriseOne Tools, bem como acesso de leitura não autorizado a um subconjunto dos dados acessíveis do JD Edwards EnterpriseOne Tools. A vulnerabilidade também está relacionada à falsificação de solicitação entre sites (CSRF). **Recomendações** Para versões anteriores à 9.2.9.0, atualize para a versão 9.2.9.0 ou posterior para resolver o problema. Como solução alternativa temporária, considere restringir o acesso ao componente Web Runtime SEC até que um patch esteja disponível. Além disso, restrinja o acesso a dados confidenciais e implemente medidas para prevenir ataques de falsificação de solicitação entre sites.

**Nome do software vulnerável e versões afetadas** Versões do JD Edwards EnterpriseOne Tools anteriores à 9.2.9.0 **Descrição** O problema está relacionado ao uso de redirecionamento aberto no componente Web Runtime SEC do JD Edwards EnterpriseOne Tools. Isso permite que um invasor não autenticado com acesso à rede via HTTP comprometa o sistema. Ataques bem-sucedidos requerem interação humana e podem resultar em acesso não autorizado para atualizar, inserir ou excluir alguns dados acessíveis, bem como acesso de leitura não autorizado a um subconjunto de dados acessíveis. **Recomendações** Para versões anteriores à 9.2.9.0, atualize para a versão 9.2.9.0 ou posterior para resolver o problema. Como solução alternativa temporária, considere restringir o acesso ao componente Web Runtime SEC até que um patch esteja disponível. Evite usar HTTP para acesso à rede até que o problema seja resolvido. Restrinja a interação humana com o sistema para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Versões do JD Edwards EnterpriseOne Tools anteriores à 9.2.9.0 **Descrição** A vulnerabilidade permite que um invasor com poucos privilégios e acesso à rede via HTTP comprometa o JD Edwards EnterpriseOne Tools. Ataques bem-sucedidos podem resultar na capacidade não autorizada de causar um travamento ou uma falha repetitiva (DOS total) do JD Edwards EnterpriseOne Tools. **Recomendações** Para versões anteriores à 9.2.9.0, atualize para a versão 9.2.9.0 ou posterior para resolver o problema. Como solução alternativa temporária, considere restringir o acesso ao componente Web Runtime SEC para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Versões do JD Edwards EnterpriseOne Tools anteriores à 9.2.9.0 **Descrição** O problema está relacionado à validação insuficiente de entradas no componente Web Runtime SEC. Essa vulnerabilidade, facilmente explorável, permite que um invasor não autenticado com acesso à rede via HTTP comprometa o JD Edwards EnterpriseOne Tools, resultando em acesso não autorizado de leitura a um subconjunto de dados acessíveis. **Recomendações** Para versões anteriores à 9.2.9.0, atualize para a versão 9.2.9.0 ou posterior para resolver o problema. Como solução alternativa temporária, considere restringir o acesso ao componente Web Runtime SEC para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Versões do JD Edwards EnterpriseOne Tools anteriores à 9.2.9.0 **Descrição** O problema está relacionado ao componente Web Runtime SEC e pode ser facilmente explorado, permitindo que um invasor não autenticado com acesso à rede via HTTP comprometa o JD Edwards EnterpriseOne Tools. Ataques bem-sucedidos requerem interação humana de uma pessoa que não seja o invasor. A vulnerabilidade pode resultar em acesso não autorizado para atualização, inserção ou exclusão de alguns dos dados acessíveis do JD Edwards EnterpriseOne Tools, bem como acesso não autorizado para leitura de um subconjunto dos dados acessíveis do JD Edwards EnterpriseOne Tools. Os ataques podem impactar significativamente outros produtos. **Recomendações** Para versões anteriores à 9.2.9.0, atualize para a versão 9.2.9.0 ou posterior para resolver o problema. Como solução alternativa temporária, considere restringir o acesso ao componente Web Runtime SEC para minimizar o risco de exploração. Evite usar o componente até que o problema seja resolvido. No momento, não há outras informações sobre medidas de mitigação adicionais.

**Nome do software vulnerável e versões afetadas** Versões do JD Edwards EnterpriseOne Tools anteriores à 9.2.9.0 **Descrição** Esta vulnerabilidade permite que um invasor com privilégios limitados e acesso à rede via HTTP comprometa o JD Edwards EnterpriseOne Tools. Ataques bem-sucedidos podem resultar na capacidade não autorizada de causar um travamento ou falhas repetidas do JD Edwards EnterpriseOne Tools. A vulnerabilidade está relacionada ao componente Web Runtime SEC e pode ser explorada para causar uma negação de serviço. **Recomendações** Para versões anteriores à 9.2.9.0, atualize para a versão 9.2.9.0 ou posterior para resolver o problema. No momento, não há informações sobre medidas de mitigação adicionais para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** PeopleSoft Enterprise PeopleTools versões 8.58 e 8.59 **Descrição** O problema está relacionado à validação insuficiente de entradas no componente “Updates Environment Mgmt”. Isso permite que um invasor não autenticado com acesso à rede via HTTP comprometa o PeopleSoft Enterprise PeopleTools, podendo resultar na tomada de controle do sistema. A vulnerabilidade pode ser explorada para afetar a confidencialidade, a integridade e a disponibilidade das informações protegidas. **Recomendações** Para as versões 8.58 e 8.59, no momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Versões do vim anteriores à 8.2.4646 **Descrição** O problema está relacionado a um uso após liberação de memória (use after free) na função `utf ptr2char`. Isso pode ser explorado por um invasor remoto por meio de um arquivo especialmente criado, permitindo potencialmente a execução de código arbitrário. **Recomendações** Para versões anteriores à 8.2.4646, atualize para a versão 8.2.4646 ou posterior para resolver o problema. Como solução temporária, considere restringir o uso da função `utf ptr2char` até que um patch esteja disponível.

**Nome do software vulnerável e versões afetadas** Versões do PyYAML anteriores à 5.4 **Descrição** Uma falha na biblioteca PyYAML permite a execução de código arbitrário ao processar arquivos YAML não confiáveis por meio do método `full load` ou com o carregador `FullLoader`. Essa vulnerabilidade permite que um invasor execute código arbitrário no sistema explorando o construtor `python/object/new`. A vulnerabilidade se deve à validação incompleta de entradas ao lidar com dados não confiáveis, o que pode ser explorado por um invasor remoto usando um arquivo especialmente criado. **Recomendações** Para versões anteriores à 5.4, considere evitar o uso do método `full load` ou do carregador `FullLoader` ao processar arquivos YAML não confiáveis até que uma correção esteja disponível. Como solução alternativa temporária, restrinja o processamento de entradas não confiáveis para minimizar o risco de exploração.