Tomasz Stachowicz

**Nome do Software Vulnerável e Versões Afetadas** IBM Tivoli Application Dependency Discovery Manager versões 7.3.0.0 até 7.3.0.11 **Descrição** Este problema permite que usuários autenticados incorporem código JavaScript arbitrário na Interface Web, potencialmente alterando a funcionalidade pretendida e levando à divulgação de credenciais dentro de uma sessão confiável. A vulnerabilidade está relacionada ao cross-site scripting armazenado. **Recomendações** Para as versões 7.3.0.0 até 7.3.0.11, atualize para uma versão que inclua uma correção para este problema para prevenir ataques de cross-site scripting armazenado. Como medida temporária, considere restringir o acesso à Interface Web para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** IBM WebSphere Application Server, versões 8.5 a 9.0 **Descrição** Esta vulnerabilidade permite que um usuário com privilégios insira código JavaScript arbitrário na interface de usuário da Web, podendo alterar a funcionalidade pretendida e levar à divulgação de credenciais dentro de uma sessão confiável. A vulnerabilidade permite que um invasor injete scripts maliciosos. **Recomendações** Para as versões 8.5 a 9.0 do IBM WebSphere Application Server, atualize o componente afetado imediatamente para mitigar o risco. Como solução alternativa temporária, considere restringir o acesso à interface de usuário da Web para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** IBM WebSphere Application Server, versões 8.5 a 9.0 **Descrição** A vulnerabilidade permite que um usuário com privilégios insira código JavaScript arbitrário na interface de usuário da Web, podendo alterar a funcionalidade pretendida e levar à divulgação de credenciais dentro de uma sessão confiável. Isso é resultado de uma vulnerabilidade de cross-site scripting armazenado. **Recomendações** Para as versões 8.5 a 9.0 do IBM WebSphere Application Server, considere restringir o acesso à interface de usuário da Web para minimizar o risco de exploração até que um patch esteja disponível. Como solução alternativa temporária, desativar a incorporação de código JavaScript arbitrário na interface de usuário da Web pode ajudar a mitigar o problema. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

Nome do software vulnerável e versões afetadas: Palo Alto Networks Prisma Cloud Compute (versões afetadas não especificadas) Descrição: Uma vulnerabilidade de script entre sites (XSS) permite que um administrador mal-intencionado com permissões de adicionar/editar para provedores de identidade armazene uma carga de JavaScript por meio da interface web. Isso permite que o administrador mal-intencionado execute ações no contexto do navegador de outro usuário quando esse outro usuário acessar o sistema. Recomendações: No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Pega Platform, versões 6.x a 8.8.4 **Descrição** O problema está relacionado a uma vulnerabilidade XXE na geração de PDFs. **Recomendações** Para as versões 6.x a 8.8.4, atualize para uma versão que inclua uma correção para a vulnerabilidade XXE na geração de PDFs. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Versões da Pega Platform de 7.1.7 a 23.1.1 **Descrição** O problema está relacionado a uma vulnerabilidade XSS ao editar ou renderizar conteúdo HTML do usuário. **Recomendações** Para as versões 7.1.7 a 23.1.1 da Pega Platform, atualize para uma versão que inclua uma correção para o problema de XSS. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Versões 8.5.4 a 8.8.3 da Pega Platform **Descrição** A vulnerabilidade consiste em um problema de XSS que pode ser explorado por um usuário não autenticado, utilizando o parâmetro `redirect`. **Recomendações** Para as versões 8.5.4 a 8.8.3, considere restringir o acesso ao parâmetro `redirect` para minimizar o risco de exploração até que uma correção esteja disponível. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Versões da Pega Platform de 8.2.1 a Infinity 23.1.0 **Descrição** O problema está relacionado a PDFs gerados, que podem expor o conteúdo dos arquivos. **Recomendações** Para as versões da Pega Platform 8.2.1 a Infinity 23.1.0, no momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Name of the Vulnerable Software and Affected Versions** IBM WebSphere Application Server versions 8.5 through 9.0 **Description** The issue is related to an XML External Entity Injection (XXE) attack when processing XML data. A remote attacker could exploit this to expose sensitive information or consume memory resources. **Recommendations** For IBM WebSphere Application Server versions 8.5 through 9.0, consider disabling XML processing or restricting access to sensitive data until a patch is available. As a temporary workaround, restrict the use of XML external entities to minimize the risk of exploitation.

**Nome do software vulnerável e versões afetadas** Versões do Dell EMC XtremIO anteriores à 6.3.3-8 **Descrição** O problema está relacionado a uma vulnerabilidade de falsificação de solicitação entre sites (Cross-Site Request Forgery) no XMS. Um invasor sem privilégios poderia explorar essa vulnerabilidade, levando um usuário com privilégios do aplicativo da vítima a ser induzido a enviar solicitações que alteram o estado do sistema para o aplicativo vulnerável, causando operações indesejadas no servidor. **Recomendações** Para versões anteriores à 6.3.3-8, atualize para a versão 6.3.3-8 ou posterior para resolver o problema. Como solução alternativa temporária, considere implementar verificações de validação adicionais nas solicitações para evitar operações indesejadas no servidor. Restrinja o acesso à interface do XMS para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Oracle Fusion Middleware BI Publisher versões 5.5.0.0.0, 11.1.1.9.0, 12.2.1.3.0, 12.2.1.4.0 **Descrição** O problema está relacionado à validação insuficiente de entradas no componente de segurança do BI Publisher do Oracle Fusion Middleware. Isso permite que um invasor não autenticado com acesso à rede via HTTP comprometa o BI Publisher, resultando em acesso não autorizado a dados críticos ou acesso completo a todos os dados acessíveis pelo BI Publisher, bem como acesso não autorizado para atualizar, inserir ou excluir alguns dos dados acessíveis pelo BI Publisher. Ataques bem-sucedidos requerem interação humana de uma pessoa que não seja o invasor. **Recomendações** Para as versões 5.5.0.0.0, 11.1.1.9.0, 12.2.1.3.0 e 12.2.1.4.0, atualize para uma versão que inclua a correção para este problema a fim de evitar a exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Oracle BI Publisher versões 11.1.1.9.0, 12.2.1.3.0, 12.2.1.4.0 **Descrição** O problema está relacionado à validação insuficiente de entradas no subcomponente Mobile Service do Oracle BI Publisher, parte do Oracle Fusion Middleware. Isso permite que um invasor não autenticado com acesso à rede via HTTP comprometa o Oracle BI Publisher, podendo afetar outros produtos. Ataques bem-sucedidos podem resultar em acesso não autorizado para atualização, inserção ou exclusão de alguns dados acessíveis pelo Oracle BI Publisher, bem como acesso não autorizado para leitura de um subconjunto desses dados. **Recomendações** Para as versões 11.1.1.9.0, 12.2.1.3.0 e 12.2.1.4.0, atualize para uma versão que inclua a correção para este problema. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Oracle BI Publisher versões 11.1.1.9.0, 12.2.1.3.0, 12.2.1.4.0 **Descrição** O problema está relacionado à validação insuficiente de entradas no componente Mobile Service do Oracle BI Publisher, parte do Oracle Fusion Middleware. Isso permite que um invasor não autenticado com acesso à rede via HTTP comprometa o Oracle BI Publisher, exigindo a interação humana de uma pessoa que não seja o invasor. Ataques bem-sucedidos podem resultar em acesso não autorizado a dados críticos, acesso completo a todos os dados acessíveis pelo Oracle BI Publisher, bem como acesso não autorizado para atualização, inserção ou exclusão de alguns dos dados acessíveis pelo Oracle BI Publisher. **Recomendações** Para as versões 11.1.1.9.0, 12.2.1.3.0 e 12.2.1.4.0, atualize para uma versão que inclua a correção para este problema. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.