Texuguinho1234

**Nome do Software Vulnerável e Versões Afetadas** OpenCATS versões anteriores a 0.9.7.5 **Description** Existe um problema no componente DataGrid onde usuários autenticados podem extrair conteúdos do banco de dados. Atacantes podem realizar injeção de SQL cega baseada em tempo—uma técnica usada para inferir dados observando o tempo que o servidor leva para responder a consultas específicas—injetando SQL malicioso através do parâmetro `sortDirection` no endpoint 'ajax/getDataGridPager.php'. **Recommendations** Atualize para uma versão posterior a 0.9.7.4. Como medida paliativa temporária, restrinja ou evite o uso do parâmetro `sortDirection` no endpoint 'ajax/getDataGridPager.php'.

**Nome do Software Vulnerável e Versões Afetadas** GitPython versões anteriores a 3.1.47 **Descrição** GitPython é uma biblioteca Python usada para interagir com repositórios Git. A função ` clone()` valida a variável `multi options` como uma lista original, mas então executa `shlex.split(" ".join(multi options))`. Isso permite que uma string que comece com uma opção segura, como `--branch`, passe na validação enquanto contém opções inseguras, como `--config core.hooksPath=/x`. Após a operação de divisão (split), a opção insegura torna-se um token separado que o Git aplica, podendo levar à execução de hooks controlados por um invasor durante o processo de clonagem. Este problema também afeta `Submodule.update()` via `clone multi options`. A vulnerabilidade ocorre quando aplicações passam entradas controladas pelo usuário para `clone from()`, `clone()` ou `Submodule.update()`. **Recomendações** Atualizar para a versão 3.1.47.

**Nome do Software Vulnerável e Versões Afetadas** Wazuh versões 4.0.0 a 4.14.2 **Description** O Wazuh é uma plataforma gratuita e de código aberto utilizada para prevenção, detecção e resposta a ameaças. Um problema de Execução Remota de Código (RCE) existe devido à desserialização de dados não confiáveis dentro do protocolo de sincronização do cluster. Isso afeta implementações que utilizam o modo cluster (arquitetura mestre/trabalhador). Um invasor que obtenha acesso a um nó trabalhador — por meio de acesso inicial, ameaças internas ou ataques à cadeia de suprimentos — pode alcançar RCE total no nó mestre com privilégios de root ao enviar uma solicitação DAPI especialmente formulada. O problema envolve a função `as wazuh object()`, carregamento de objeto reflexivo inseguro e suposições implícitas de confiança do cluster, permitindo o abuso do runtime do Python e a exploração de importação dinâmica. **Recommendations** Atualizar para a versão 4.14.3.