Serge Huber

**Nome do software vulnerável e versões afetadas** Versões do Apache Unomi anteriores à 1.5.2 **Descrição** É possível injetar scripts maliciosos OGNL ou MVEL no endpoint público “/context.json”. Esse problema foi parcialmente corrigido na versão 1.5.1, mas um novo vetor de ataque foi descoberto. Na versão 1.5.2 do Apache Unomi, os scripts agora são completamente filtrados da entrada. **Recomendações** Para versões anteriores à 1.5.2, atualize para a versão mais recente disponível da série 1.5.x para corrigir este problema. Como solução temporária, considere restringir o acesso ao endpoint “/context.json” até que um patch esteja disponível.