R3Dw0Lfsec

**Nome do Software Vulnerável e Versões Afetadas** Apache CXF versões anteriores a 4.2.2 Apache CXF versões anteriores a 4.1.7 **Descrição** As classes `EndpointReferenceUtils` e `W3CMultiSchemaFactory` constroem um `SAXParserFactory` sem as configurações de endurecimento JAXP necessárias. Isso permite a resolução de entidades externas out-of-band (OOB), um processo no qual um analisador XML é enganado para acessar recursos externos por meio de entidades externas. **Recomendações** Atualize para a versão 4.2.2. Atualize para a versão 4.1.7.

**Nome do Software Vulnerável e Versões Afetadas** Apache Fory fory-core versões anteriores a 1.1.0 **Description** A desserialização de dados não confiáveis no caminho de substituição de resolução (replace-resolve) do Java em plataformas Java/JVM permite que um invasor remoto ignore as verificações de registro de classe, TypeChecker e DisallowedList. Ao utilizar dados serializados do Fory manipulados, um invasor pode invocar os hooks `readResolve()` e `readExternal()` presentes no classpath. **Recommendations** Atualize para a versão 1.1.0 ou posterior.