Victor Rodriguez

**Nome do software vulnerável e versões afetadas** Oracle WebCenter Sites versão 12.2.1.4.0 **Descrição** O problema está relacionado à validação insuficiente de entradas no componente Advanced UI do Oracle WebCenter Sites, permitindo que um invasor não autenticado com acesso à rede via HTTP comprometa o sistema. Ataques bem-sucedidos exigem a interação humana de uma pessoa que não seja o invasor e podem afetar significativamente outros produtos. Isso pode resultar em acesso não autorizado para atualização, inserção ou exclusão de alguns dos dados acessíveis do Oracle WebCenter Sites, bem como acesso não autorizado para leitura de um subconjunto dos dados acessíveis do Oracle WebCenter Sites. **Recomendações** Para a versão 12.2.1.4.0, atualize para uma versão que inclua a correção para este problema. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** PeopleSoft Enterprise PeopleTools, versões 8.57 a 8.59 **Descrição** O problema ocorre devido à validação insuficiente de entradas no componente WebLogic do Oracle PeopleSoft Enterprise PeopleTools. Isso permite que um invasor remoto obtenha acesso de leitura aos dados por meio de solicitações HTTP. Ataques bem-sucedidos podem resultar em acesso de leitura não autorizado a um subconjunto de dados acessíveis do PeopleSoft Enterprise PeopleTools. **Recomendações** Para as versões 8.57 a 8.59, atualize para uma versão que inclua a correção para este problema, a fim de impedir o acesso de leitura não autorizado. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas: PeopleSoft Enterprise PeopleTools versões 8.57, 8.58 e 8.59 Descrição: A vulnerabilidade permite que um invasor não autenticado com acesso à rede via HTTP comprometa o PeopleSoft Enterprise PeopleTools. Ataques bem-sucedidos exigem interação humana de uma pessoa que não seja o invasor e podem impactar significativamente outros produtos. Isso pode resultar em acesso não autorizado para atualização, inserção ou exclusão de alguns dados acessíveis pelo PeopleSoft Enterprise PeopleTools, bem como acesso não autorizado para leitura de um subconjunto desses dados. Recomendações: Para as versões 8.57, 8.58 e 8.59, atualize para uma versão que inclua uma correção para este problema. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Versões do CKEditor 4 anteriores à 4.16.2 **Descrição** Foi descoberta uma vulnerabilidade potencial no pacote [Fake Objects] do CKEditor 4, permitindo a injeção de código HTML de objetos falsos malformados, o que poderia resultar na execução de código JavaScript. Este problema afeta todos os usuários que utilizam os plug-ins do CKEditor 4 listados, incluindo [Fake Objects], [Link], [Flash], [Iframe], [Forms] e [Page Break], nas versões anteriores à 4.16.2. **Recomendações** Para versões do CKEditor 4 anteriores à 4.16.2, atualize para a versão 4.16.2 para resolver o problema. Como solução temporária, considere desativar o uso do plug-in [Fake Objects] até que o patch seja aplicado. Restrinja o acesso aos plug-ins afetados para minimizar o risco de exploração. Evite usar os plug-ins afetados no pacote CKEditor 4 até que o problema seja resolvido.

**Nome do software vulnerável e versões afetadas** Versões do Apache Velocity Engine até a 2.2 Versões do Bitbucket Data Center e Server de 7.21.0 a 7.21.7 **Descrição** Um invasor capaz de modificar modelos Velocity pode executar código Java arbitrário ou comandos de sistema arbitrários com os mesmos privilégios da conta que executa o contêiner Servlet. Isso se aplica a aplicativos que permitem que usuários não confiáveis enviem/modifiquem modelos Velocity. A vulnerabilidade está relacionada ao gerenciamento incorreto da geração de código no mecanismo de modelos Velocity do Java, o que pode permitir que um invasor remoto acesse dados confidenciais, comprometa sua integridade e cause uma negação de serviço. **Recomendações** Para versões do Apache Velocity Engine até a 2.2, considere desativar a capacidade de usuários não confiáveis fazerem upload ou modificarem modelos Velocity até que um patch esteja disponível. Para as versões 7.21.0 a 7.21.7 do Bitbucket Data Center e Server, atualize para uma versão igual ou superior à 7.21.8 para resolver o problema.

**Nome do software vulnerável e versões afetadas** Oracle WebCenter Sites versão 12.2.1.3.0 **Descrição** O problema está relacionado à falta de proteção dos dados de serviço no componente Advanced UI do Oracle WebCenter Sites, permitindo que um invasor não autenticado com acesso à rede via HTTP comprometa o sistema. Ataques bem-sucedidos exigem a interação humana de uma pessoa que não seja o invasor e podem impactar significativamente outros produtos, resultando em acesso não autorizado a dados críticos ou acesso completo a todos os dados acessíveis do Oracle WebCenter Sites. **Recomendações** Para a versão 12.2.1.3.0, no momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.