Pedro Henrique Oliveira Dos Santos

**Nome do Software Vulnerável e Versões Afetadas** Apache Wicket versões 8.0.0 até 8.17.0 Apache Wicket versão 9.0.0 Apache Wicket versões 10.0.0 até 10.8.0 **Descrição** Um ataque de fixação de sessão é possível devido à falta de invocação do método de requisição web http do Servlet `changeSessionId()` após a vinculação da sessão. **Recomendações** Atualizar para a versão 10.9.0.

**Nome do Software Vulnerável e Versões Afetadas** Apache Wicket versões 8.0.0 até 8.17.0 Apache Wicket versão 9.0.0 Apache Wicket versões 10.0.0 até 10.8.0 **Descrição** A neutralização inadequada de entradas durante a geração de páginas web permite Cross-site Scripting (XSS), uma falha onde uma aplicação inclui dados não confiáveis em uma página web sem a devida validação ou codificação, permitindo potencialmente que invasores executem scripts maliciosos no navegador da vítima. **Recomendações** Atualizar para a versão 10.9.0.

**Nome do Software Vulnerável e Versões Afetadas** Apache Wicket versões 8.0.0 até 8.17.0 Apache Wicket versões 9.0.0 até 9.22.0 Apache Wicket versões 10.0.0 até 10.8.0 **Descrição** Exposição de informações sensíveis a um ator não autorizado. **Recomendações** Atualizar para a versão 10.9.0.

**Nome do Software Vulnerável e Versões Afetadas** Apache Wicket versões 8.0.0 até 8.17.0 Apache Wicket versões 9.0.0 até 9.22.0 Apache Wicket versões 10.0.0 até 10.8.0 **Descrição** O FolderUploadsFileManager não valida nem sanitiza o parâmetro `uploadFieldId` ou o `clientFileName` antes de construir caminhos de arquivos. Isso permite que um invasor não autenticado grave arquivos arbitrários fora do diretório de upload pretendido ou leia arquivos de locais arbitrários no servidor. **Recomendações** Atualizar para a versão 10.9.0.

**Nome do software vulnerável e versões afetadas** Apache Wicket versão 7.0.0 Versões do Apache Wicket anteriores à 9.19.0 Versões do Apache Wicket anteriores à 10.3.0 **Descrição** O mecanismo de tratamento de solicitações no núcleo do Apache Wicket permite que um invasor realize um ataque de negação de serviço (DOS) por meio de múltiplas solicitações aos recursos do servidor. Este problema é causado por uma falha no mecanismo de tratamento de solicitações, resultando em um vazamento de memória. Para corrigir este problema, recomenda-se que os usuários atualizem para versões corrigidas. **Recomendações** Para o Apache Wicket versão 7.0.0, atualize para a versão 9.19.0 ou 10.3.0 para corrigir o problema. Para versões do Apache Wicket anteriores à 9.19.0, atualize para a versão 9.19.0 ou posterior para corrigir o problema. Para versões do Apache Wicket anteriores à 10.3.0, atualize para a versão 10.3.0 ou posterior para corrigir o problema.