Shahar Tal

**Nome do Software Vulnerável e Versões Afetadas** Conjur OSS versões 1.19.5 a 1.21.1 Secrets Manager, Self-Hosted versões 13.1 a 13.4.1 **Descrição** O Conjur fornece gerenciamento de segredos e identidade de aplicação para infraestrutura. Um atacante autenticado que possa injetar segredos ou modelos no banco de dados do Secrets Manager, Self-Hosted poderia explorar um endpoint de API exposto para executar código Ruby arbitrário dentro do processo do Secrets Manager. Este problema afeta tanto o Secrets Manager, Self-Hosted quanto o Conjur OSS. **Recomendações** Atualize o Conjur OSS para a versão 1.21.2 ou posterior. Atualize o Secrets Manager, Self-Hosted para a versão 13.5 ou posterior.

**Name of the Vulnerable Software and Affected Versions** Conjur Secrets Manager, Self-Hosted versions prior to 13.5.1 and 13.6.1 Conjur OSS versions prior to 1.22.1 **Description** Conjur provides secrets management and application identity for infrastructure. An authenticated attacker who is able to load policy can use the policy YAML parser to reference files on the Secrets Manager, Self-Hosted server. These references may be used for reconnaissance to understand the folder structure of the Secrets Manager/Conjur server or to have the YAML parser include files on the server in the YAML that is processed when the policy loads. **Recommendations** Upgrade Conjur Secrets Manager, Self-Hosted to version 13.5.1 or 13.6.1. Upgrade Conjur OSS to version 1.22.1.

**Nome do Software Vulnerável e Versões Afetadas** CyberArk Secrets Manager, versões Self-Hosted anteriores à 13.5.1 e 13.6.1 Versões do Conjur OSS anteriores à 1.22.1 **Descrição** Um invasor com acesso a um dispositivo de rede mal configurado que roteia tráfego do Secrets Manager para a AWS pode redirecionar solicitações de autenticação para um servidor malicioso sob seu controle. A CyberArk acredita que muito poucas instalações estão suscetíveis à exploração ativa. **Recomendações** Atualize o CyberArk Secrets Manager, Self-Hosted para a versão 13.5.1 ou 13.6.1. Atualize o Conjur OSS para a versão 1.22.1.

**Nome do Software Vulnerável e Versões Afetadas** Conjur OSS versões 1.19.5 a 1.22.0 Secrets Manager, Self-Hosted versões 13.1 a 13.6 **Descrição** O Conjur fornece gerenciamento de segredos e identidade de aplicação para infraestrutura. Uma expressão regular malformada permite que um atacante, manipulando cabeçalhos assinados pela AWS, redirecione a solicitação de validação de autenticação enviada pelo Secrets Manager, Self-Hosted para um servidor malicioso. Este redirecionamento pode contornar o Autenticador IAM, concedendo ao atacante as permissões concedidas ao cliente cuja solicitação foi manipulada. **Recomendações** Conjur OSS versão 1.22.1 ou posterior Secrets Manager, Self-Hosted versão 13.5.1 ou posterior Secrets Manager, Self-Hosted versão 13.6.1 ou posterior

**Nome do Software Vulnerável e Versões Afetadas** Conjur Secrets Manager, versões Autohospedadas anteriores a 13.5.1 e 13.6.1 Conjur OSS, versões anteriores a 1.22.1 **Descrição** O Conjur fornece gerenciamento de segredos e identidade de aplicação para infraestrutura. Validações ausentes no Secrets Manager, Autohospedado, permitem que atacantes autenticados injetem recursos no banco de dados e contornem verificações de permissão. **Recomendações** Atualize o Conjur Secrets Manager, Autohospedado, para a versão 13.5.1 ou 13.6.1. Atualize o Conjur OSS para a versão 1.22.1.

**Name of the Vulnerable Software and Affected Versions** WordPress versions prior to 4.3.1 **Description** The issue allows remote authenticated users to bypass intended access restrictions. This can lead to a private post being published and made sticky. **Recommendations** For versions prior to 4.3.1, update to version 4.3.1 or later to resolve the issue.

**Name of the Vulnerable Software and Affected Versions** WordPress versions prior to 4.3.1 **Description** A cross-site scripting (XSS) issue exists due to the mishandling of unclosed HTML elements during processing of shortcode tags, allowing remote attackers to inject arbitrary web script or HTML. **Recommendations** For versions prior to 4.3.1, update to version 4.3.1 or later to resolve the issue.