William Thomson

**Nome do software vulnerável e versões afetadas** Versões do Apache Isis anteriores à 2.0.0-M8 **Descrição** O módulo h2 webconsole é automaticamente disponibilizado quando o sistema é executado no modo de protótipo, permitindo consultas diretas ao banco de dados. Para melhorar a segurança, a capacidade de acessar o webconsole agora requer ativação explícita pelo desenvolvedor usando a propriedade de configuração `isis.prototyping.h2-console.web-allow-remote-access`. Uma proteção adicional, o parâmetro de configuração `isis.prototyping.h2-console.generate-random-web-admin-password`, exige uma senha gerada aleatoriamente para acesso ao console, que é impressa no log como `webAdminPass: xxx`. O console web h2 nunca está disponível no modo de produção. **Recomendações** Para resolver o problema, defina a propriedade de configuração `isis.prototyping.h2-console.web-allow-remote-access` como `true` e o parâmetro de configuração `isis.prototyping.h2-console.generate-random-web-admin-password` como `false` para reverter ao comportamento original. Como alternativa, atualize para a versão 2.0.0-M8 ou posterior, na qual o console web não estará disponível sem a configuração `isis.prototyping.h2-console.web-allow-remote-access`. Como solução temporária, considere restringir o acesso ao módulo do console web h2 até que o problema seja resolvido.