Oliver Haufe

**Nome do software vulnerável e versões afetadas** SOS JobScheduler, versões 1.11 a 1.13.2 **Descrição** Um problema de loop infinito ou de grande duração no componente JOC Cockpit permite que invasores configurem tarefas de manutenção, o que pode esgotar os recursos do sistema e resultar em uma negação de serviço. **Recomendações** Para as versões 1.11 a 1.13.2 do SOS JobScheduler, considere restringir o acesso ao componente JOC Cockpit para minimizar o risco de exploração até que uma correção esteja disponível.

**Nome do software vulnerável e versões afetadas** SOS JobScheduler, versões 1.12 a 1.13.2 **Descrição** Existe uma vulnerabilidade no componente JOC Cockpit que permite que invasores leiam arquivos do servidor por meio de uma declaração de entidade em documentos XML utilizados para configurações de tempo de execução de tarefas e ordens. **Recomendações** Para as versões 1.12 a 1.13.2 do SOS JobScheduler, considere desativar o processamento de Entidades Externas XML (XEE) no componente JOC Cockpit até que um patch esteja disponível. Restrinja o acesso a arquivos confidenciais no servidor para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** SOS JobScheduler, versões 1.11 a 1.13.2 **Descrição** Uma vulnerabilidade de script entre sites (XSS) permite que invasores injetem scripts da Web ou HTML arbitrários por meio de propriedades JSON disponíveis na API REST. Isso afeta o componente JOC Cockpit. **Recomendações** Para as versões 1.11 a 1.13.2 do SOS JobScheduler, considere restringir o acesso à API REST para minimizar o risco de exploração até que uma correção esteja disponível. Como solução alternativa temporária, evite usar propriedades JSON que permitam a injeção de scripts web ou HTML arbitrários no componente JOC Cockpit.

**Name of the Vulnerable Software and Affected Versions** JobScheduler versions prior to 1.6.4246 JobScheduler versions 7.x prior to 1.7.4241 **Description** The issue allows remote attackers to cause a denial of service and read arbitrary files or directories via a request containing an XML external entity declaration in conjunction with an entity reference. **Recommendations** For JobScheduler versions prior to 1.6.4246, update to version 1.6.4246 or later. For JobScheduler versions 7.x prior to 1.7.4241, update to version 1.7.4241 or later.

**Name of the Vulnerable Software and Affected Versions** SOS JobScheduler versions prior to 1.6.4246 SOS JobScheduler versions 1.7.x prior to 1.7.4241 **Description** A cross-site scripting (XSS) issue exists, allowing remote attackers to inject arbitrary web script or HTML via the `location.hash` property. **Recommendations** For SOS JobScheduler versions prior to 1.6.4246, update to version 1.6.4246 or later. For SOS JobScheduler versions 1.7.x prior to 1.7.4241, update to version 1.7.4241 or later.

**Name of the Vulnerable Software and Affected Versions** SOS JobScheduler versions prior to 1.6.4246 SOS JobScheduler versions 1.7.x prior to 1.7.4241 **Description** A directory traversal issue exists in the JobScheduler Operations Center (JOC) that allows remote authenticated users with the info permission to read arbitrary files in the webroot. **Recommendations** For SOS JobScheduler versions prior to 1.6.4246, update to version 1.6.4246 or later. For SOS JobScheduler versions 1.7.x prior to 1.7.4241, update to version 1.7.4241 or later.