Nikita Markevich

**Nome do Software Vulnerável e Versões Afetadas** Google Cloud Apigee (versões afetadas não especificadas) **Description** Uma falha na política `SetIntegrationRequest` permite que atacantes remotos realizem Server-Side Request Forgery (SSRF), que é uma técnica onde um atacante força um servidor a fazer requisições para um local não pretendido. Isso pode levar à exfiltração de tokens de acesso de contas de serviço. A exploração bem-sucedida requer que um administrador tenha estabelecido inicialmente uma configuração insegura do proxy de API. **Recommendations** No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** Versões do Apache ZooKeeper anteriores à 3.8.6 Versões do Apache ZooKeeper anteriores à 3.9.5 **Descrição** Existe uma falha no processo de verificação de hostname dentro do `ZKTrustManager` do Apache ZooKeeper. Quando a validação do IP Subject Alternative Name (SAN) falha, o sistema incorretamente recorre à consulta de registros DNS reverso (PTR). Isso permite que atacantes que controlam ou manipulam registros PTR potencialmente se passem por servidores ou clientes ZooKeeper, mesmo ao apresentar um certificado confiado pelo `ZKTrustManager`. A exploração bem-sucedida requer que o atacante possua um certificado que já seja confiado pelo sistema, tornando o ataque mais complexo. **Recomendações** Atualize para a versão 3.8.6 do Apache ZooKeeper. Atualize para a versão 3.9.5 do Apache ZooKeeper.

**Nome do Software Vulnerável e Versões Afetadas** Versões do Google Apigee anteriores ao Hybrid 1.11.2 Versões do Google Apigee anteriores ao Hybrid 1.12.4 Versões do Google Apigee anteriores ao Hybrid 1.13.3 Versões do Google Apigee anteriores ao Hybrid 1.14.1 Versões do Google Apigee anteriores ao OPDK 5202 Versões do Google Apigee anteriores ao OPDK 5300 **Descrição** Existe um problema de segurança na política JavaCallout dentro do Google Apigee. Isso permite a execução remota de código, possibilitando que um usuário injete um objeto malicioso no MessageContext. Isso pode levar à execução de código Java arbitrário e comandos do sistema em tempo de execução, potencialmente resultando em acesso não autorizado a dados e movimento lateral na rede. O componente vulnerável é a política JavaCallout, acessível via endpoint da API `https://docs.apigee.com/api-platform/reference/policies/java-callout-policy`. O `MessageContext` é um parâmetro vulnerável. **Recomendações** Atualize para o Google Apigee Hybrid versão 1.11.2 ou posterior. Atualize para o Google Apigee Hybrid versão 1.12.4 ou posterior. Atualize para o Google Apigee Hybrid versão 1.13.3 ou posterior. Atualize para o Google Apigee Hybrid versão 1.14.1 ou posterior. Atualize para o Google Apigee OPDK versão 5202 ou posterior. Atualize para o Google Apigee OPDK versão 5300 ou posterior.