Yiming Xiang

**Name of the Vulnerable Software and Affected Versions** Microsoft Defender for IoT (affected versions not specified) **Description** The issue is related to insufficient access control in Microsoft Defender for IoT, which could allow an attacker to elevate their privileges. **Recommendations** At the moment, there is no information about a newer version that contains a fix for this vulnerability.

**Nome do software vulnerável e versões afetadas** Microsoft Dynamics NAV e Microsoft Dynamics 365 Business Central (local) (versões afetadas não especificadas) **Descrição** O problema está relacionado à validação insuficiente de entradas no Microsoft Dynamics 365 Business Central e no Microsoft Dynamics NAV, o que pode ser explorado por um invasor remoto para executar código arbitrário. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Azure CycleCloud (versões afetadas não especificadas) **Descrição** O problema está relacionado a controles de acesso insuficientes no Azure CycleCloud, uma ferramenta para organizar e gerenciar ambientes de computação de alto desempenho (HPC). Isso pode permitir que um invasor remoto eleve seus privilégios. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Skype for Business Server e Microsoft Lync Server (versões afetadas não especificadas) **Descrição** O problema está relacionado à validação insuficiente de entradas, o que pode ser explorado por um invasor remoto para executar código arbitrário no sistema alvo. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** NATS Server, versões 2.2.0 a 2.7.3 NATS Streaming Server, versões 0.15.0 a 0.24.2 **Descrição** A vulnerabilidade permite o traversal de diretórios com acesso de gravação por meio de um elemento em um arquivo ZIP para fluxos JetStream, possibilitando a gravação arbitrária de arquivos. Isso se deve a verificações inadequadas dos nomes de arquivos dentro do arquivo compactado, permitindo um ataque do tipo “Zip Slip” durante a restauração do fluxo. O número estimado de dispositivos potencialmente afetados não foi especificado. **Recomendações** Para as versões 2.2.0 a 2.7.3 do NATS Server, atualize para pelo menos a versão 2.7.4. Para as versões 0.15.0 a 0.24.2 do NATS Streaming Server, atualize para pelo menos a versão 0.24.3. Como solução alternativa temporária, considere desativar o JetStream para usuários não confiáveis. Se apenas uma conta NATS usa o JetStream e todos os usuários com acesso à API do JetStream são confiáveis, aplique técnicas de sandboxing, como executar o NATS como um usuário sem privilégios e com acesso restrito, para impedir a exploração.

**Nome do software vulnerável e versões afetadas: Versões do Apache AsterixDB entre os commits 580b81aa5e8888b8e1b0620521a1c9680e54df73 e 28c0ee84f1387ab5d0659e9e822f4e3923ddc22d Descrição: Ao carregar uma UDF, um arquivo zip especialmente criado poderia permitir que arquivos fossem colocados fora do diretório de implantação da UDF. Esta vulnerabilidade não afetou nenhuma versão lançada do Apache AsterixDB. Recomendações: No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Versões 2.2.x do Spring Cloud Config anteriores à 2.2.2 Versões 2.1.x do Spring Cloud Config anteriores à 2.1.7 Versões antigas e sem suporte do Spring Cloud Config **Descrição** A vulnerabilidade permite que aplicativos sirvam arquivos de configuração arbitrários por meio do módulo spring-cloud-config-server. Um usuário mal-intencionado pode enviar uma solicitação usando uma URL especialmente criada, o que pode levar a um ataque de traversal de diretório. **Recomendações** Para as versões 2.2.x do Spring Cloud Config anteriores à 2.2.2, atualize para a versão 2.2.2 ou posterior. Para as versões 2.1.x do Spring Cloud Config anteriores à 2.1.7, atualize para a versão 2.1.7 ou posterior. Para versões mais antigas e sem suporte do Spring Cloud Config, considere atualizar para uma versão com suporte para mitigar o risco.