Trancap

**Nome do Software Vulnerável e Versões Afetadas** Compuware iStrobe Web versão 20.13 **Descrição** O software contém uma vulnerabilidade de execução remota de código pré-autenticação. Atacantes não autenticados podem fazer upload de arquivos JSP maliciosos através de uma falha de path traversal no formulário de upload de arquivos. A exploração envolve o envio de solicitações POST para o endpoint do JSP carregado, utilizando o parâmetro `fileName` para fazer upload de um web shell e executar comandos arbitrários. **Recomendações** Aplique atualizações para corrigir a falha de path traversal no formulário de upload de arquivos. Restrinja o acesso à funcionalidade de upload de arquivos. Monitore o tráfego de rede em busca de solicitações POST suspeitas direcionadas ao endpoint JSP.

**Nome do software vulnerável e versões afetadas** Versões do ezplatform-graphql anteriores à 1.0.13 Versões do ezplatform-graphql anteriores à 2.3.12 **Descrição** O problema diz respeito à exposição de hashes de senhas de usuários que criaram ou modificaram conteúdo, normalmente administradores e editores, por meio de consultas GraphQL não autenticadas para contas de usuário. Isso se deve ao armazenamento inseguro de informações confidenciais. **Recomendações** Para versões anteriores à 1.0.13, atualize para a versão 1.0.13 para resolver o problema. Para versões anteriores à 2.3.12, atualize para a versão 2.3.12 para resolver o problema. Como solução alternativa temporária para usuários que não possam atualizar, considere remover a entrada `passwordHash` do arquivo `src/bundle/Resources/config/graphql/User.types.yaml` no pacote GraphQL, e outras propriedades como `hash type`, `email`, `login`, se preferir.