X1R0Z

**Nome do Software Vulnerável e Versões Afetadas** Versões do Apache HugeGraph-Server anteriores à 1.7.0 **Descrição** Existe uma vulnerabilidade de execução remota de código na qual um nó Raft malicioso pode explorar a desserialização Hessian insegura no armazenamento PD. A correção impõe autenticação baseada em IP para restringir a associação ao cluster e implementa uma lista branca de classes rigorosa para reforçar o processo de serialização Hessian contra ataques de injeção de objetos. O Hessian é um formato de serialização de objetos binário. **Recomendações** Atualize para a versão 1.7.0 para resolver o problema.

**Nome do Software Vulnerável e Versões Afetadas** Versões do Apache EventMesh anteriores à 1.11.0 **Descrição** O problema envolve a desserialização de dados não confiáveis no módulo de plugin eventmesh-meta-raft no Apache EventMesh, permitindo que invasores enviem mensagens controladas e executem código remoto via o protocolo RPC de desserialização Hessian. Isso afeta plataformas como Windows, Linux e Mac OS. **Recomendações** Para versões anteriores à 1.11.0, os usuários podem utilizar o código na branch master no repositório do projeto ou atualizar para a versão 1.11.0 para corrigir este problema. Como solução temporária, considere restringir o acesso ao módulo de plugin vulnerável `eventmesh-meta-raft` até que um patch esteja disponível.

**Nome do software vulnerável e versões afetadas** Versões 1.0.0 a 1.8.0 do Apache Seata Versão 2.0.0 do Apache Seata **Descrição** O problema está relacionado à desserialização de dados não confiáveis no Apache Seata. Quando os desenvolvedores desativam a autenticação no Seata-Server e não utilizam as dependências do SDK do cliente Seata, eles podem construir solicitações maliciosas serializadas e descontroladas, enviando diretamente bytecode baseado no protocolo privado do Seata. Isso pode permitir que um invasor remoto cause uma negação de serviço usando uma solicitação especialmente criada. **Recomendações** Para as versões 1.0.0 a 1.8.0 do Apache Seata, atualize para a versão 1.8.1, que corrige o problema. Para a versão 2.0.0 do Apache Seata, atualize para a versão 2.1.0, que corrige o problema. Como solução alternativa temporária, considere desativar a autenticação no Seata-Server ou usar as dependências do SDK do cliente Seata para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Apache InLong, versões 1.10.0 a 1.12.0 **Descrição** A vulnerabilidade afeta o Apache InLong devido a um controle inadequado da geração de código, o que pode levar à execução remota de código. Isso permite que um invasor remoto execute código arbitrário. Recomenda-se que os usuários tomem medidas imediatas para mitigar a ameaça. **Recomendações** Para as versões 1.10.0 a 1.12.0 do Apache InLong, atualize para a versão 1.13.0 do Apache InLong ou aplique o patch fornecido para resolver o problema.

**Nome do software vulnerável e versões afetadas** Apache InLong, versões 1.7.0 a 1.9.0 **Descrição** O problema está relacionado à desserialização de dados não confiáveis no Apache InLong, permitindo que invasores realizem um ataque de leitura arbitrária de arquivos usando o driver mysql. **Recomendações** Para as versões 1.7.0 a 1.9.0 do Apache InLong, atualize para a versão 1.10.0 do Apache InLong ou selecione a correção disponível em https://github.com/apache/inlong/pull/9331 para resolver o problema.

**Name of the Vulnerable Software and Affected Versions** Apache InLong versions 1.5.0 through 1.9.0 **Description** The issue is related to an Improper Control of Generation of Code ('Code Injection') vulnerability in Apache InLong, which could lead to Remote Code Execution. This vulnerability affects Apache InLong versions from 1.5.0 through 1.9.0. **Recommendations** To solve the issue, users are advised to upgrade to Apache InLong's 1.10.0 or cherry-pick the solution provided in https://github.com/apache/inlong/pull/9329.

**Name of the Vulnerable Software and Affected Versions** Oracle WebLogic Server versions 12.2.1.4.0 through 14.1.1.0.0 **Description** The issue is related to insufficient input validation in the Core component of Oracle WebLogic Server, part of the Oracle Fusion Middleware platform. This can be exploited by a remote attacker to gain unauthorized access to protected information. Successful attacks can result in unauthorized access to critical data or complete access to all Oracle WebLogic Server accessible data. **Recommendations** For versions 12.2.1.4.0 and 14.1.1.0.0, update to a version that includes the fix for this issue. At the moment, there is no information about a newer version that contains a fix for this vulnerability.

**Name of the Vulnerable Software and Affected Versions** Oracle WebLogic Server versions 12.2.1.3.0 through 12.2.1.4.0 Oracle WebLogic Server version 14.1.1.0.0 **Description** The issue is related to errors in handling input data in the Core component of the Oracle WebLogic Server. It allows an unauthenticated attacker with network access via T3 to compromise the server. Successful attacks can result in unauthorized access to critical data or complete access to all accessible data on the Oracle WebLogic Server. **Recommendations** For Oracle WebLogic Server versions 12.2.1.3.0 through 12.2.1.4.0, update to a version that includes the fix for this issue. For Oracle WebLogic Server version 14.1.1.0.0, update to a version that includes the fix for this issue. As a temporary workaround, consider restricting access to the T3 protocol to minimize the risk of exploitation.