Tobias Clarke

**Nome do software vulnerável e versões afetadas** Cisco Emergency Responder (versões afetadas não especificadas) **Descrição** Uma vulnerabilidade na interface de usuário web do Cisco Emergency Responder pode permitir que um invasor remoto autenticado realize um ataque de traversal de diretório. Isso se deve a proteções insuficientes na interface de usuário web, permitindo que um invasor envie solicitações maliciosas e, potencialmente, execute ações arbitrárias em um dispositivo afetado. Uma exploração bem-sucedida poderia permitir que o invasor acessasse arquivos confidenciais, como arquivos de senha ou de log, ou carregasse e excluísse arquivos existentes do sistema, tudo com o nível de privilégio do usuário afetado. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Cisco Emergency Responder (versões afetadas não especificadas) **Descrição** Uma vulnerabilidade na interface de usuário web do Cisco Emergency Responder pode permitir que um invasor remoto não autenticado realize um ataque CSRF. Isso se deve a proteções insuficientes na interface de usuário web de um sistema afetado. Um invasor poderia explorar essa vulnerabilidade persuadindo um usuário a clicar em um link malicioso, permitindo que o invasor realizasse ações arbitrárias com o nível de privilégio do usuário afetado, como excluir usuários do dispositivo. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Cisco Unified Communications Manager IM & Presence Service (Unified CM IM&P) — versões não especificadas **Descrição** O problema está relacionado a uma falha de traversal de caminho na interface web do sistema, que poderia permitir que um invasor remoto realizasse ataques de cross-site scripting (XSS) contra usuários autenticados. Isso ocorre porque a interface não valida adequadamente as entradas fornecidas pelo usuário. Um invasor poderia explorar essa vulnerabilidade persuadindo um usuário autenticado a clicar em um link malicioso, permitindo potencialmente a execução de código de script arbitrário ou o acesso a informações confidenciais do navegador. **Recomendações** Para o Cisco Unified Communications Manager IM & Presence Service (Unified CM IM&P), como solução alternativa temporária, considere desativar a interface web até que um patch esteja disponível. Planeje uma atualização rápida para uma versão mais recente que contenha uma correção para este problema.

**Name of the Vulnerable Software and Affected Versions** Oracle Database Server versions 19.3 through 19.24 Oracle Database Server versions 21.3 through 21.15 Oracle Database Server versions 23.4 through 23.5 **Description** The issue is related to errors in resource release in the XML Database component of Oracle Database Server. It can be exploited by a remote attacker to cause a denial of service by sending HTTP packets. The vulnerability can be exploited with low privileges and requires human interaction from someone other than the attacker. Successful attacks can result in unauthorized ability to cause a partial denial of service of the XML Database. **Recommendations** For Oracle Database Server versions 19.3 through 19.24, update to a version outside of this range to resolve the issue. For Oracle Database Server versions 21.3 through 21.15, update to a version outside of this range to resolve the issue. For Oracle Database Server versions 23.4 through 23.5, update to a version outside of this range to resolve the issue. As a temporary workaround, consider restricting access to the XML Database component to minimize the risk of exploitation.

**Name of the Vulnerable Software and Affected Versions** IBM Tivoli Workload Scheduler versions 9.4 through 10.1 **Description** The issue is related to an XML External Entity Injection (XXE) attack when processing XML data. A remote attacker could exploit this to expose sensitive information or consume memory resources. **Recommendations** For IBM Tivoli Workload Scheduler versions 9.4 through 10.1, consider disabling XML data processing until a patch is available. Restrict access to sensitive information to minimize the risk of exploitation. Avoid using vulnerable XML parsing functions until the issue is resolved. At the moment, there is no information about a newer version that contains a fix for this vulnerability.