Noah-Paige

**Nome do software vulnerável e versões afetadas** Amazon Web Services (AWS) (versões afetadas não especificadas) **Descrição** A vulnerabilidade permite que um usuário autenticado do data.all execute operações UPDATE de modificação em registros de notificação persistentes no data.all para notificações de grupo das quais o usuário não é membro. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Amazon Cognito (versões afetadas não especificadas) **Descrição** A vulnerabilidade permite que usuários previamente autenticados continuem executando solicitações de API autorizadas até que seu token de autenticação expire, mesmo após o logout. Isso ocorre porque os tokens de autenticação emitidos via Cognito no `data.all` não são invalidados no momento do logout. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** data.all (versões afetadas não especificadas) **Descrição** O problema está relacionado a permissões de autorização inconsistentes no data.all, o que pode permitir que um agente externo com uma conta autenticada execute operações restritas em conjuntos de dados e ambientes. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Amazon data.all versões <=2.6.0 **Descrição** Um usuário autenticado do data.all pode manipular uma consulta `getDataset` para obter informações adicionais sobre o recurso Environment pai, que o usuário não conseguiria obter consultando diretamente o objeto via `getEnvironment` no data.all. Este problema está relacionado a uma autorização incorreta e pode ser explorado remotamente. **Recomendações** Para versões do Amazon data.all <=2.6.0, atualize para uma versão corrigida imediatamente para resolver o problema. Como solução alternativa temporária, considere restringir o acesso à consulta `getDataset` para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** data.all (versões afetadas não especificadas) **Descrição** Um membro da equipe administrativa do data.all com acesso à conta AWS de propriedade do cliente na qual o data.all está implantado pode ser capaz de extrair dados de usuários a partir dos logs da aplicação data.all por meio da análise de logs do CloudWatch, procurando por operações específicas que interagem com os dados das equipes de produção do cliente. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.