R00T4Dm

**Name of the Vulnerable Software and Affected Versions** Apache Karaf Decanter versions prior to 2.12.0 **Description** The Decanter log socket collector in Apache Karaf has a deserialization issue. The collector operates on port 4560 without authentication. If the `allowed classes` property is exposed, its configuration can be bypassed, leading to potential denial-of-service (DoS) conditions due to untrusted data deserialization. The Decanter log socket collector is not installed by default, meaning users who have not installed it are not affected. **Recommendations** Upgrade to version 2.12.0 or later.

**Nome do Software Vulnerável e Versões Afetadas** Versões do Apache Fory anteriores à 0.12.2 **Descrição** A vulnerabilidade consiste em uma Negação de Serviço (DoS) resultante da desserialização insegura de dados não confiáveis. Um atacante pode fornecer um payload de dados grande e especialmente elaborado que consome recursos excessivos de CPU durante a desserialização, levando ao esgotamento da CPU e tornando a aplicação ou o sistema indisponível. **Recomendações** Atualize para a versão 0.12.2 ou posterior.

**Name of the Vulnerable Software and Affected Versions** Zoho ManageEngine ADManager Plus versions prior to 7183 **Description** The issue allows admin users to exploit an XXE problem to view files. **Recommendations** For versions prior to 7183, update to version 7183 or later to resolve the issue.

**Name of the Vulnerable Software and Affected Versions** Oracle WebLogic Server versions 12.2.1.3.0 through 12.2.1.4.0 Oracle WebLogic Server version 14.1.1.0.0 **Description** The issue is related to insufficient input validation in the Core component of Oracle WebLogic Server, allowing an unauthenticated attacker with network access via T3 or IIOP to compromise the server. Successful attacks can result in unauthorized ability to cause a hang or frequently repeatable crash (complete DOS) of Oracle WebLogic Server. **Recommendations** For Oracle WebLogic Server versions 12.2.1.3.0 and 12.2.1.4.0, update to a version that includes the fix for this issue. For Oracle WebLogic Server version 14.1.1.0.0, update to a version that includes the fix for this issue. As a temporary workaround, consider restricting access to the T3 and IIOP protocols to minimize the risk of exploitation.

**Nome do software vulnerável e versões afetadas** Versões 8.0.29 e anteriores do MySQL Server **Descrição** Uma vulnerabilidade no produto MySQL Server permite que um invasor com privilégios elevados e acesso à rede por meio de vários protocolos comprometa o servidor. A vulnerabilidade é difícil de explorar e pode resultar na capacidade não autorizada de causar um travamento ou falhas repetidas do MySQL Server, levando a uma negação de serviço. O problema está relacionado à validação insuficiente de entradas no componente Server: Stored Procedure. **Recomendações** Para as versões 8.0.29 e anteriores, atualize para uma versão posterior à 8.0.29 para resolver o problema. Como solução alternativa temporária, considere restringir o acesso de rede ao MySQL Server para minimizar o risco de exploração. Além disso, monitore o servidor em busca de sinais de ataques de negação de serviço e implemente medidas para prevenir tais ataques.

**Nome do software vulnerável e versões afetadas** Oracle BI Publisher, versões 12.2.1.3.0 a 12.2.1.4.0 **Descrição** O problema está relacionado a erros no código do componente BI Publisher Security do Oracle BI Publisher. Isso permite que um invasor remoto obtenha acesso de leitura aos dados por meio de solicitações HTTP. Ataques bem-sucedidos podem resultar em acesso de leitura não autorizado a um subconjunto de dados acessíveis do Oracle BI Publisher. **Recomendações** Para as versões 12.2.1.3.0 e 12.2.1.4.0, atualize para uma versão que inclua a correção para este problema. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Oracle Communications Billing and Revenue Management, versões 12.0.0.4 a 12.0.0.5 **Descrição** O problema está relacionado à validação insuficiente de entradas no componente Connection Manager, permitindo que um invasor com poucos privilégios e acesso à rede via TCP comprometa o Oracle Communications Billing and Revenue Management. Ataques bem-sucedidos podem resultar na tomada de controle do Oracle Communications Billing and Revenue Management. **Recomendações** Para as versões 12.0.0.4 e 12.0.0.5, considere restringir o acesso à rede via TCP para minimizar o risco de exploração até que um patch esteja disponível. Como solução alternativa temporária, revise e reforce a validação de entradas para o componente Connection Manager a fim de prevenir possíveis ataques.

**Nome do software vulnerável e versões afetadas** Oracle Business Intelligence Enterprise Edition versões 5.5.0.0.0, 5.9.0.0.0, 12.2.1.3.0 e 12.2.1.4.0 **Descrição** A vulnerabilidade permite que um invasor não autenticado com acesso à rede via HTTP comprometa o Oracle Business Intelligence Enterprise Edition, resultando em acesso não autorizado a dados críticos ou acesso total a todos os dados acessíveis. A vulnerabilidade está relacionada ao componente Analytics Web General e é facilmente explorável. **Recomendações** Para as versões 5.5.0.0.0, 5.9.0.0.0, 12.2.1.3.0 e 12.2.1.4.0, atualize para uma versão que inclua a correção para este problema. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Oracle WebLogic Server, versões 12.2.1.3.0 a 12.2.1.4.0 Oracle WebLogic Server, versão 14.1.1.0.0 **Descrição** O problema está relacionado à validação insuficiente de entradas no componente Core do Oracle WebLogic Server, permitindo que um invasor remoto cause uma negação de serviço por meio dos protocolos T3/IIOP. Ataques bem-sucedidos podem resultar na capacidade de causar um travamento ou falhas repetidas do Oracle WebLogic Server. **Recomendações** Para as versões 12.2.1.3.0 a 12.2.1.4.0 do Oracle WebLogic Server, atualize para uma versão que inclua a correção para este problema. Para a versão 14.1.1.0.0 do Oracle WebLogic Server, atualize para uma versão que inclua a correção para este problema. Como solução alternativa temporária, considere restringir o acesso aos protocolos T3/IIOP para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Oracle WebLogic Server, versão 14.1.1.0.0 **Descrição** A vulnerabilidade existe devido à validação insuficiente de entradas em um componente do Oracle WebLogic Server. A exploração pode permitir que um invasor remoto comprometa a confidencialidade e a integridade das informações protegidas. Ataques bem-sucedidos requerem interação humana e podem resultar em acesso não autorizado a alguns dos dados acessíveis do servidor, incluindo acesso para atualização, inserção ou exclusão, bem como acesso de leitura não autorizado a um subconjunto dos dados. **Recomendações** Para a versão 14.1.1.0.0, considere restringir o acesso ao componente vulnerável até que um patch esteja disponível. Como solução alternativa temporária, limite o acesso à rede via HTTP para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Oracle WebLogic Server, versões 12.2.1.4.0 a 14.1.1.0.0 **Descrição** A vulnerabilidade existe devido à validação insuficiente de entradas no componente Samples do Oracle WebLogic Server, permitindo que um invasor remoto comprometa a confidencialidade e a integridade das informações protegidas. Ataques bem-sucedidos requerem interação humana e podem afetar significativamente outros produtos, resultando em acesso não autorizado aos dados do Oracle WebLogic Server. **Recomendações** Para as versões 12.2.1.4.0 e 14.1.1.0.0, atualize para uma versão que inclua a correção para este problema. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Oracle WebLogic Server, versões 12.2.1.4.0 a 14.1.1.0.0 **Descrição** Existe uma vulnerabilidade no produto Oracle WebLogic Server devido à validação insuficiente de entradas no componente Samples. Essa falha, facilmente explorável, permite que um invasor não autenticado com acesso à rede via HTTP comprometa o Oracle WebLogic Server. Ataques bem-sucedidos requerem interação humana de uma pessoa que não seja o invasor e podem impactar significativamente outros produtos. A vulnerabilidade pode resultar em acesso não autorizado para atualização, inserção ou exclusão de alguns dos dados acessíveis do Oracle WebLogic Server, bem como acesso não autorizado para leitura de um subconjunto dos dados acessíveis do Oracle WebLogic Server. **Recomendações** Para as versões 12.2.1.4.0 e 14.1.1.0.0, atualize para uma versão que inclua a correção para esta vulnerabilidade. Como solução alternativa temporária, considere restringir o acesso ao componente Samples até que um patch esteja disponível. Evite usar solicitações HTTP para acessar dados confidenciais no Oracle WebLogic Server até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Oracle WebLogic Server, versões 12.2.1.4.0 a 14.1.1.0.0 **Descrição** O problema está relacionado à validação insuficiente de entradas no componente Samples do Oracle WebLogic Server, permitindo que um invasor não autenticado com acesso à rede via HTTP comprometa o servidor. Ataques bem-sucedidos exigem interação humana de uma pessoa que não seja o invasor e podem impactar significativamente outros produtos. Isso pode resultar em acesso não autorizado para atualização, inserção ou exclusão de alguns dos dados acessíveis do Oracle WebLogic Server, bem como acesso não autorizado para leitura de um subconjunto dos dados acessíveis do servidor. **Recomendações** Para as versões 12.2.1.4.0 e 14.1.1.0.0, atualize para uma versão que inclua a correção para este problema. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** IBM WebSphere Application Server versões 7.0, 8.0, 8.5 e 9.0 **Descrição** O problema consiste em uma negação de serviço causada pelo envio de uma solicitação especialmente criada. Um invasor remoto poderia explorar essa vulnerabilidade para fazer com que o servidor consumisse todos os recursos de CPU disponíveis. **Recomendações** Para as versões 7.0, 8.0, 8.5 e 9.0 do IBM WebSphere Application Server, atualize para uma versão que inclua uma correção para este problema, a fim de evitar a exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Versões 2.2.0 a 2.2.18 do Spring AMQP Versões 2.3.0 a 2.3.10 do Spring AMQP **Descrição** O problema decorre do método toString() do objeto Message do Spring AMQP, que desserializa o corpo de uma mensagem com tipo de conteúdo application/x-java-serialized-object. Isso permite a construção de um objeto java.util.Dictionary malicioso que pode causar 100% de uso da CPU no aplicativo se o método toString() for chamado. Além disso, o método pode criar um novo objeto String a partir do corpo da mensagem, independentemente de seu tamanho, o que pode levar a um erro OOM (Out of Memory) com mensagens grandes. **Recomendações** Para as versões 2.2.0 a 2.2.18 do Spring AMQP, considere desativar o método toString() para o objeto Spring AMQP Message até que um patch esteja disponível. Para as versões 2.3.0 a 2.3.10 do Spring AMQP, restrinja o uso do método toString() para o objeto Message do Spring AMQP a fim de evitar possíveis problemas de uso da CPU e erros de OOM.

**Nome do software vulnerável e versões afetadas** Versões do Oracle Coherence de 12.1.3.0.0 a 14.1.1.0.0 **Descrição** O problema está relacionado à validação insuficiente de entradas no componente Core do Oracle Coherence, permitindo que um invasor não autenticado com acesso à rede via protocolos T3 ou IIOP comprometa o Oracle Coherence. Ataques bem-sucedidos podem resultar na tomada de controle do Oracle Coherence. A vulnerabilidade é difícil de explorar. **Recomendações** Para as versões 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0 e 14.1.1.0.0, atualize para uma versão que inclua a correção para este problema. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Oracle WebLogic Server, versões 10.3.6.0.0 a 14.1.1.0.0 **Descrição** O problema está relacionado ao componente Web Services do Oracle WebLogic Server, que pode ser explorado por um invasor não autenticado com acesso à rede via protocolos T3 ou IIOP. Isso pode levar a uma condição de negação de serviço (DOS), fazendo com que o servidor trave ou pare de funcionar repetidamente. A vulnerabilidade se deve à limpeza ou liberação incorreta de recursos. **Recomendações** Para as versões 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0 e 14.1.1.0.0, considere restringir o acesso ao protocolo T3 para minimizar o risco de exploração até que um patch esteja disponível. Como solução alternativa temporária, considere desativar o componente Web Services até que um patch esteja disponível. Evite usar os protocolos T3 ou IIOP nas versões afetadas do Oracle WebLogic Server até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Oracle Business Intelligence Enterprise Edition versão 12.2.1.4.0 **Descrição** A vulnerabilidade existe devido à validação insuficiente de entradas no componente Analytics Web General do Oracle Business Intelligence Enterprise Edition. Isso permite que um invasor remoto obtenha controle total sobre o aplicativo por meio do protocolo HTTP. Ataques bem-sucedidos podem resultar na tomada de controle do Oracle Business Intelligence Enterprise Edition. **Recomendações** Para a versão 12.2.1.4.0, considere desativar o BIRemotingServlet para impedir a desserialização de dados não confiáveis até que um patch esteja disponível. Restrinja o acesso ao componente Analytics Web General para minimizar o risco de exploração. Evite usar o protocolo HTTP para acessar o componente vulnerável até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Oracle WebLogic Server, versões 10.3.6.0.0 a 14.1.1.0.0 **Descrição** O problema está relacionado à validação insuficiente de entradas no componente Core do Oracle WebLogic Server, permitindo que um invasor não autenticado com acesso à rede via HTTP comprometa o servidor. Ataques bem-sucedidos podem resultar em acesso de leitura não autorizado a um subconjunto de dados acessíveis do Oracle WebLogic Server. **Recomendações** Para as versões 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0 e 14.1.1.0.0, atualize para uma versão que inclua a correção para este problema. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Essbase Analytic Provider Services, versões 11.1.2.4 a 21.2 **Descrição** O problema está relacionado a erros no processamento de dados de entrada no componente web do Essbase Analytic Provider Services. Ele pode ser explorado por um invasor remoto para causar uma negação de serviço. Ataques bem-sucedidos podem resultar na capacidade de fazer com que o serviço trave ou falhe repetidamente, levando a uma negação de serviço completa. **Recomendações** Para as versões 11.1.2.4 e 21.2, atualize para uma versão que inclua a correção para este problema a fim de evitar a exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.