Nbxiglk

**Nome do Software Vulnerável e Versões Afetadas** Versões do Apache Geode anteriores à 1.15.2 **Descrição** Existe um problema de injeção de script malicioso na web-api (REST) do Apache Geode. Um atacante pode induzir um usuário autenticado a clicar em um link especialmente criado, levando à execução de código na página retornada. Isso pode resultar no roubo das informações de sessão do usuário e na possível tomada de controle da conta. A vulnerabilidade afeta a API REST. **Recomendações** Atualize para a versão 1.15.2, que corrige o problema.

Nome do Software Vulnerável e Versões Afetadas: Versões do Apache IoTDB de 1.0.0 a 1.3.3 Descrição: O problema está relacionado a uma vulnerabilidade de Execução Remota de Código com URI não confiável de UDF no Apache IoTDB. Um invasor com privilégio para criar UDF pode registrar uma função maliciosa a partir de uma URI não confiável. Recomendações: Para as versões do Apache IoTDB de 1.0.0 a 1.3.3, atualize para a versão 1.3.4, que corrige o problema. Como medida de contorno temporária, considere restringir a criação de UDFs a fontes confiáveis até que a atualização seja aplicada.

**Nome do software vulnerável e versões afetadas** Versões do Apache Zeppelin anteriores à 0.11.1 **Descrição** O problema está relacionado ao controle inadequado da geração de código, permitindo que um invasor injete configurações confidenciais ou código malicioso ao se conectar a um banco de dados MySQL por meio de um driver JDBC. **Recomendações** Para versões do Apache Zeppelin anteriores à 0.11.1, atualize para a versão 0.11.1 para corrigir o problema. Como solução temporária, considere restringir o acesso ao driver JDBC ou desativar o recurso de geração de código até que o patch seja aplicado.

**Nome do software vulnerável e versões afetadas** Apache DolphinScheduler (versões afetadas não especificadas) **Descrição** O problema diz respeito a uma vulnerabilidade de validação inadequada de entradas, permitindo que um usuário autenticado execute código JavaScript arbitrário e fora do ambiente sandbox no servidor. Isso pode levar à execução arbitrária de código JavaScript com privilégios de root por usuários autenticados. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Name of the Vulnerable Software and Affected Versions** Apache InLong versions 1.4.0 through 1.8.0 **Description** The issue is related to an Authorization Bypass Through User-Controlled Key vulnerability. This vulnerability allows some sensitive parameter checks to be bypassed, including `autoDeserizalize` and `allowLoadLocalInfile`. **Recommendations** For Apache InLong versions 1.4.0 through 1.8.0, upgrade to Apache InLong's 1.9.0 or cherry-pick the provided patch to solve the issue.

**Name of the Vulnerable Software and Affected Versions** Apache XML Graphics Batik version 1.16 **Description** The issue is related to a Server-Side Request Forgery (SSRF) vulnerability in Apache XML Graphics Batik. This vulnerability can be exploited by a malicious SVG, which could trigger the loading of external resources by default, causing resource consumption or, in some cases, information disclosure. **Recommendations** For Apache XML Graphics Batik version 1.16, upgrade to version 1.17 or later to resolve the issue. As a temporary workaround, consider restricting the use of the vulnerable component to minimize the risk of exploitation. Avoid using the vulnerable version of Apache XML Graphics Batik until the issue is resolved.

**Name of the Vulnerable Software and Affected Versions** Apache NiFi versions 0.0.2 through 1.22.0 **Description** The issue is related to the Remote Resource Handler component of Apache NiFi, which is associated with incorrect code generation management. This can allow a remote attacker to execute arbitrary code. The vulnerability is exploited when an authenticated and authorized user configures a location that enables custom code execution, using HTTP URL references for retrieving drivers in Processors and Controller Services. **Recommendations** For Apache NiFi versions 0.0.2 through 1.22.0, upgrade to Apache NiFi 1.23.0 to mitigate the issue. This version introduces a new Required Permission for referencing remote resources, restricting configuration of these components to privileged users.

**Nome do software vulnerável e versões afetadas** Versões do Apache Flume de 1.4.0 a 1.10.1 **Descrição** A vulnerabilidade permite um ataque de execução remota de código (RCE) quando uma configuração utiliza uma fonte JMS com um providerURL não seguro. Isso ocorre porque a classe JMSSource é configurada com um parâmetro `providerUrl`, que realiza uma pesquisa JNDI sem validação, podendo levar à desserialização de dados não confiáveis. **Recomendações** Para as versões do Apache Flume 1.4.0 a 1.10.1, atualize para a versão 1.11.0 para corrigir o problema, limitando o JNDI para permitir apenas o uso do protocolo java ou nenhum protocolo.