Y4Er

#6546de 53,632

41.5CVSS total

Vulnerabilidades · 5

Média

1

Alta

3

Crítica

1

Vmware · Vmware Aria Operations · CVE-2023-20878

**Name of the Vulnerable Software and Affected Versions** VMware Aria Operations (affected versions not specified) **Description** The issue is related to a deserialization vulnerability in VMware Aria Operations. A malicious actor with administrative privileges can exploit this vulnerability to execute arbitrary commands and disrupt the system. This can be done remotely. **Recommendations** At the moment, there is no information about a newer version that contains a fix for this vulnerability.

Vmware · Vmware Aria Operations · CVE-2023-20877

**Name of the Vulnerable Software and Affected Versions** VMware Aria Operations (affected versions not specified) **Description** The issue is related to insufficient access control in VMware Aria Operations, allowing a remote attacker to execute arbitrary code and escalate privileges. An authenticated malicious user with ReadOnly privileges can perform code execution, leading to privilege escalation. **Recommendations** At the moment, there is no information about a newer version that contains a fix for this vulnerability.

Vmware · Vmware Aria Operations For Logs · CVE-2023-20865

**Name of the Vulnerable Software and Affected Versions** VMware Aria Operations for Logs (affected versions not specified) **Description** The issue is related to a command injection vulnerability in VMware Aria Operations for Logs. A malicious actor with administrative privileges can execute arbitrary commands as root. This can be achieved by exploiting the lack of proper neutralization of special elements used in the OS command. **Recommendations** At the moment, there is no information about a newer version that contains a fix for this vulnerability.

Bmc · Bmc Track-It! · CVE-2022-35864

**Nome do software vulnerável e versões afetadas** BMC Track-It! versão 20.21.02.109 **Descrição** Esta vulnerabilidade permite que invasores remotos divulguem informações confidenciais nas instalações afetadas. É necessária autenticação para explorar esta vulnerabilidade. A falha específica existe no endpoint “GetPopupSubQueryDetails”. A vulnerabilidade resulta da falta de validação adequada de uma `sequência de caracteres fornecida pelo usuário` antes de usá-la para construir consultas SQL. Um invasor pode aproveitar esta vulnerabilidade para divulgar credenciais armazenadas, levando a um comprometimento adicional. **Recomendações** Para a versão 20.21.02.109, como solução temporária, considere restringir o acesso ao endpoint “GetPopupSubQueryDetails” até que um patch esteja disponível. Além disso, certifique-se de validar adequadamente as `cadeias de caracteres fornecidas pelo usuário` para evitar ataques de injeção de SQL. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

Zzz · Zzzphp · CVE-2020-20298

**Nome do software vulnerável e versões afetadas** zzzphp versão 1.7.2 **Descrição** O problema está relacionado a uma vulnerabilidade de injeção eval no método `parserCommom` da classe `ParserTemplate` no arquivo `zzz template.php`. Essa vulnerabilidade permite que invasores remotos executem comandos arbitrários. **Recomendações** Para a versão 1.7.2 do zzzphp, considere desativar o método `parserCommom` na classe `ParserTemplate` até que um patch esteja disponível. Restrinja o acesso ao arquivo `zzz template.php` para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.