Ted Jongseok Won

**Nome do software vulnerável e versões afetadas** Red Hat JBoss Core Services HTTP Server (versões afetadas não especificadas) **Descrição** Foi encontrada uma falha no Red Hat JBoss Core Services HTTP Server, na qual ele não normaliza adequadamente o componente de caminho de uma URL de solicitação que contenha ponto-ponto-ponto-e-vírgula(s). Isso poderia permitir que um invasor acessasse informações não autorizadas ou, possivelmente, realizasse novos ataques. A maior ameaça decorrente desse problema é à confidencialidade e integridade dos dados. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para esse problema.

**Nome do software vulnerável e versões afetadas** Quarkus (versões afetadas não especificadas) **Descrição** Uma falha no Quarkus permite que o estado e as permissões potencialmente associadas vazem de uma solicitação web para outra no RestEasy Reactive. Esse problema permite que um usuário com privilégios limitados execute operações no banco de dados com um conjunto de privilégios diferente do pretendido. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas: Versões do RESTEasy até 4.6.0.Final Descrição: Foi encontrada uma falha de Cross-Site Scripting (XSS) refletido no RESTEasy, na qual ele não lidava adequadamente com a codificação de URL ao chamar `@javax.ws.rs.PathParam` sem nenhum MediaType `@Produces`. Essa falha permite que um invasor lance um ataque XSS refletido, representando uma ameaça à confidencialidade e integridade dos dados. Recomendações: Para versões até 4.6.0.Final, atualize para uma versão posterior à 4.6.0.Final para resolver o problema. Como solução temporária, considere restringir o uso de `@javax.ws.rs.PathParam` sem nenhum MediaType `@Produces` para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas: Versões do SmallRye anteriores à 1.6.2 Descrição: Uma falha na API pode permitir que outro código em execução no servidor de aplicativos obtenha o ClassLoader, contornando quaisquer verificações de permissão que deveriam ter sido aplicadas, representando uma ameaça à confidencialidade dos dados. Recomendações: Para versões anteriores à 1.6.2, atualize para o SmallRye 1.6.2 para resolver o problema.

**Nome do software vulnerável e versões afetadas** WildFly Elytron versões 1.11.3.Final e anteriores **Descrição** Foi identificada uma falha no WildFly Elytron ao utilizar a autenticação FORM com um ID de sessão na URL, permitindo que um invasor realize um ataque de fixação de sessão. Isso representa uma ameaça à confidencialidade e integridade dos dados, bem como à disponibilidade do sistema. **Recomendações** Para as versões 1.11.3.Final e anteriores do WildFly Elytron, considere desativar o uso de IDs de sessão nas URLs para autenticação FORM até que um patch esteja disponível. Restrinja o acesso a dados confidenciais e implemente medidas de segurança adicionais para minimizar o risco de ataques de fixação de sessão.