Qing Xu

**Nome do software vulnerável e versões afetadas** Versões do Apache Zeppelin de 0.8.2 a 0.11.0 **Descrição** O problema está relacionado à validação inadequada de entradas, permitindo que invasores executem consultas maliciosas ao definir propriedades de configuração incorretas no filtro de pesquisa LDAP. **Recomendações** Para as versões do Apache Zeppelin 0.8.2 a 0.11.0, atualize para a versão 0.11.1 para corrigir o problema.

**Nome do software vulnerável e versões afetadas** Versões do Apache DolphinScheduler anteriores à 3.2.1 **Descrição** O problema está relacionado à fixação de sessão, em que uma sessão permanece válida após a alteração da senha. Isso poderia permitir o acesso não autorizado. Recomenda-se aos usuários que atualizem para uma versão que corrija esse problema. **Recomendações** Para versões do Apache DolphinScheduler anteriores à 3.2.1, atualize para a versão 3.2.1 para resolver o problema. Como solução temporária, considere restringir o acesso a áreas confidenciais do aplicativo até que a atualização seja aplicada.

**Nome do software vulnerável e versões afetadas** Versões do Apache Solr de 6.0.0 a 8.11.2 Versões do Apache Solr de 9.0.0 a 9.3.0 Versões do Apache Solr de 9.0.0 até 9.4.1 **Descrição** O problema está relacionado à exposição de informações confidenciais a um agente não autorizado no Apache Solr. O Solr Streaming Expressions permite que os usuários extraiam dados de outras Solr Clouds usando um parâmetro `zkHost`. Quando o SolrCloud original é configurado para usar credenciais e ACLs do ZooKeeper, elas serão enviadas para qualquer `zkHost` que o usuário fornecer. Um invasor poderia configurar um servidor para simular o ZooKeeper, aceitando solicitações do ZooKeeper com credenciais e ACLs, e extrair informações confidenciais. Em seguida, ele poderia enviar uma expressão de streaming usando o endereço do servidor simulado em `zkHost`. As Expressões de Streaming são expostas por meio do manipulador “/streaming” com permissões de “leitura”. **Recomendações** Para as versões 6.0.0 a 8.11.2 do Apache Solr, atualize para a versão 8.11.3. Para as versões 9.0.0 a 9.3.0 do Apache Solr, atualize para a versão 9.3.0. Para as versões do Apache Solr 9.0.0 anteriores à 9.4.1, atualize para a versão 9.4.1. Como solução alternativa temporária, considere restringir o acesso ao manipulador `/streaming` para minimizar o risco de exploração. Evite usar o parâmetro `zkHost` no endpoint da API afetado até que o problema seja resolvido.

**Name of the Vulnerable Software and Affected Versions** helix-core versions prior to 1.3.0 helix-rest versions prior to 1.3.0 **Description** An attacker can use SnakeYAML to deserialize `java.net.URLClassLoader` and make it load a JAR from a specified URL, and then deserialize `javax.script.ScriptEngineManager` to load code using that ClassLoader. This unbounded deserialization can likely lead to remote code execution. The code can be run in Helix REST start and Workflow creation. **Recommendations** For helix-core versions prior to 1.3.0: As a short-term mitigation, stop using any YAML-based configuration and workflow creation. As a long-term solution, update to version 1.3.0. For helix-rest versions prior to 1.3.0: As a short-term mitigation, stop using any YAML-based configuration and workflow creation. As a long-term solution, update to version 1.3.0.

**Nome do software vulnerável e versões afetadas** Versões do SoftwareX anteriores à 2.0.0-M9 **Descrição** A vulnerabilidade permite que um usuário final defina o valor de uma propriedade de string editável de um objeto de domínio com um valor que seria exibido inalterado ao ser salvo. Isso permite que o usuário final insira código JavaScript ou similar, o qual seria executado. As strings inseridas agora são escapadas corretamente ao serem renderizadas. **Recomendações** Para versões anteriores à 2.0.0-M9, atualize para a versão 2.0.0-M9 ou posterior para garantir que as strings inseridas sejam escapadas corretamente ao serem renderizadas.