T4Rnrookie

**Nome do Software Vulnerável e Versões Afetadas** Versões do Dataease anteriores a 2.10.13 **Descrição** O Dataease é uma plataforma de análise de dados e visualização de código aberto. A implementação da fonte de dados H2 (H2.java) carece de validação para garantir que uma URL JDBC fornecida comece com `jdbc:h2`. Isso permite que uma configuração JDBC elaborada substitua o driver do Amazon Redshift e utilize os parâmetros `socketFactory` e `socketFactoryArg` para invocar `org.springframework.context.support.FileSystemXmlApplicationContext` ou `ClassPathXmlApplicationContext` com um recurso XML remoto controlado por um atacante, potencialmente levando à execução remota de código. **Recomendações** Atualize o Dataease para a versão 2.10.13 ou posterior.

**Nome do software vulnerável e versões afetadas** Phpok versão 6.1 **Descrição** O problema está relacionado a uma vulnerabilidade de deserialização. Ela afeta o arquivo framework/phpok call.php. **Recomendações** Para a versão 6.1 do Phpok, considere restringir o acesso ao arquivo framework/phpok call.php até que um patch esteja disponível. Como solução temporária, evite usar funções de desserialização no arquivo afetado para minimizar o risco de exploração.