Pupiles

**Nome do software vulnerável e versões afetadas** Apache Traffic Control Traffic Ops (versões afetadas não especificadas) **Descrição** A vulnerabilidade existe devido à falta de neutralização de elementos especiais no filtro LDAP do Apache Traffic Control. Um usuário não autenticado pode explorar essa vulnerabilidade enviando uma solicitação especialmente criada para o endpoint `POST /login` de qualquer versão da API, permitindo-lhe injetar conteúdo não sanitizado no filtro LDAP e, potencialmente, executar comandos arbitrários no sistema alvo. **Recomendações** Como solução temporária, considere desativar o endpoint `POST /login` até que um patch esteja disponível. Restrinja o acesso ao filtro LDAP para minimizar o risco de exploração. Evite usar nomes de usuário especialmente criados no endpoint da API afetada até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Versões do Thunderdome anteriores à 1.16.3 **Descrição** O problema está relacionado a uma vulnerabilidade de injeção LDAP que afeta instâncias com autenticação LDAP habilitada. O nome de usuário fornecido não é escapado adequadamente, permitindo uma possível exploração. Esta vulnerabilidade já foi corrigida, e estima-se que um número significativo de dispositivos em todo o mundo que utilizam o Thunderdome com autenticação LDAP possa ter sido afetado, embora o número exato não tenha sido especificado. Não há informações sobre incidentes reais em que essa vulnerabilidade tenha sido explorada. **Recomendações** Para versões anteriores à 1.16.3, atualize para a versão 1.16.3 para resolver o problema. Como solução alternativa temporária, considere desativar o recurso LDAP, caso esteja em uso, para minimizar o risco de exploração.

**Name of the Vulnerable Software and Affected Versions** BigTree version 4.2.23 **Description** The issue allows remote attackers to bypass authentication when Advanced or Simple Rewrite routing is enabled. This can be achieved by using a .. substring in a URI, such as launch.php?bigtree htaccess url=admin/images/... **Recommendations** For BigTree version 4.2.23, consider disabling Advanced or Simple Rewrite routing until a patch is available to prevent authentication bypass. Restrict access to sensitive areas of the application to minimize the risk of exploitation. Avoid using the `bigtree htaccess url` parameter in the affected launch.php endpoint until the issue is resolved.