Rmb122

**Nome do Software Vulnerável e Versões Afetadas** Versões do Nagios Network Analyzer anteriores à 2024R2.0.1 **Descrição** O Nagios Network Analyzer contém uma falha na forma como lida com o gerenciamento de certificados LDAP. Especificamente, o processo de remoção de certificados não sanitiza corretamente a entrada. Um administrador autenticado pode explorar essa falha para executar comandos no sistema hospedeiro, com os privilégios do serviço da aplicação web, resultando em execução remota de código. **Recomendações** Atualize para a versão 2024R2.0.1 ou posterior.

**Name of the Vulnerable Software and Affected Versions** OWASP Coraza WAF versions prior to 3.0.1 **Description** The issue is caused by the misuse of `log.Fatalf` in the OWASP Coraza WAF library, which leads to the application crashing after receiving crafted requests from attackers. The application will immediately crash after receiving a malicious request that triggers an error in `mime.ParseMediaType`. **Recommendations** For versions prior to 3.0.1, update to version 3.0.1 to resolve the issue. As a temporary workaround, consider modifying the error handling in the `mime.ParseMediaType` function to return directly instead of using `log.Fatalf`, which calls `os.Exit` and causes the application to crash.

**Nome do software vulnerável e versões afetadas** GateOne versão 1.1 **Descrição** A vulnerabilidade permite o download arbitrário de arquivos sem autenticação por meio de um ataque de traversal de diretório em “/downloads/..”, devido ao uso indevido de `os.path.join`. Isso pode ser explorado através do endpoint da API “/downloads/”. **Recomendações** Para o GateOne versão 1.1, como solução temporária, considere restringir o acesso ao endpoint da API “/downloads/” até que uma correção esteja disponível. Evite usar a função `os.path.join` de forma que permita a traversal de diretórios até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.