Stefano Ciccone

**Nome do software vulnerável e versões afetadas** Oracle WebLogic Server, versões 10.3.6.0.0 a 12.2.1.4.0 **Descrição** O problema está relacionado a um controle de acesso insuficiente nos Componentes Principais do WLS do Oracle WebLogic Server, permitindo que um invasor não autenticado com acesso à rede via protocolo IIOP comprometa o servidor. Ataques bem-sucedidos podem resultar na tomada de controle do Oracle WebLogic Server. **Recomendações** Para as versões 10.3.6.0.0 a 12.2.1.4.0, atualize para uma versão que inclua a correção para este problema. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Name of the Vulnerable Software and Affected Versions** Pivotal Spring Web Flow versions prior to 2.4.5 **Description** The issue concerns malicious EL expressions in view states that process form submissions. This can affect applications that do not change the value of the `useSpringBinding` property, which is disabled by default. **Recommendations** For versions prior to 2.4.5, update to version 2.4.5 or later to resolve the issue. As a temporary workaround, consider enabling the `useSpringBinding` property to prevent malicious EL expressions.