Zeddyu Lu

**Nome do software vulnerável e versões afetadas** Versões do Apache Commons Net anteriores à 3.9.0 **Descrição** O problema está relacionado ao cliente FTP do Apache Commons Net, que, por padrão, confia no host fornecido na resposta PASV. Isso permite que um servidor malicioso redirecione o código do Commons Net para usar um host diferente, o que pode levar ao vazamento de informações sobre os serviços em execução na rede privada do cliente. O comportamento padrão foi alterado na versão 3.9.0 para ignorar tais hosts. **Recomendações** Para versões anteriores à 3.9.0, atualize para a versão 3.9.0 ou posterior para alterar o comportamento padrão e ignorar os hosts das respostas PASV. Como solução temporária, considere configurar o cliente FTP para não confiar nos hosts das respostas PASV.

**Nome do software vulnerável e versões afetadas** Versões do GNU Inetutils anteriores à 2.2 **Descrição** O problema diz respeito ao cliente FTP no GNU Inetutils, que não valida os endereços retornados pelas respostas PASV/LSPV, garantindo que eles correspondam ao endereço do servidor. **Recomendações** Para versões do GNU Inetutils anteriores à 2.2, atualize para a versão 2.2 ou posterior para resolver o problema.

**Nome do software vulnerável e versões afetadas** Versões do JetBrains Ktor anteriores à 1.4.3 **Descrição** A vulnerabilidade permite o contrabando de solicitações HTTP, o que pode ser explorado. **Recomendações** Para versões anteriores à 1.4.3, atualize para a versão 1.4.3 ou posterior para resolver o problema.

**Nome do software vulnerável e versões afetadas** Versões do JetBrains Ktor anteriores à 1.4.2 **Descrição** O problema está relacionado ao fato de conjuntos de criptografia fracos estarem habilitados por padrão. Isso pode potencialmente levar a riscos de segurança. **Recomendações** Para versões anteriores à 1.4.2, atualize para a versão 1.4.2 ou posterior para resolver o problema. Como solução temporária, considere desativar o uso de conjuntos de criptografia fracos até que um patch esteja disponível. Restrinja o acesso a dados confidenciais para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Oracle WebLogic Server, versões 10.3.6.0.0 a 14.1.1.0.0 **Descrição** O problema está relacionado à validação insuficiente de entradas no componente Web Container do Oracle WebLogic Server, permitindo que um invasor não autenticado com acesso à rede via HTTP comprometa o servidor. Ataques bem-sucedidos podem resultar em acesso não autorizado para criação, exclusão ou modificação de dados críticos, bem como acesso de leitura não autorizado a um subconjunto de dados acessíveis. **Recomendações** Para as versões 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0 e 14.1.1.0.0, atualize para uma versão que inclua a correção para este problema. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Oracle WebLogic Server, versões 10.3.6.0.0 a 14.1.1.0.0 **Descrição** O problema está relacionado à validação insuficiente de entradas no componente Web Container do Oracle WebLogic Server, permitindo que um invasor remoto cause uma negação de serviço. Ataques bem-sucedidos podem resultar na capacidade de causar um travamento ou falhas repetidas do Oracle WebLogic Server. A vulnerabilidade pode ser explorada por um invasor não autenticado com acesso à rede via HTTP. **Recomendações** Para as versões 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0 e 14.1.1.0.0, atualize para uma versão que inclua a correção para este problema a fim de evitar a exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Oracle WebLogic Server versões 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0 **Descrição** O problema está relacionado a um controle de acesso insuficiente no componente Web Container do Oracle WebLogic Server, permitindo que um invasor não autenticado com acesso à rede via HTTP comprometa o servidor. Ataques bem-sucedidos podem resultar em acesso não autorizado para criação, exclusão ou modificação de dados críticos ou de todos os dados acessíveis, bem como acesso de leitura não autorizado a um subconjunto de dados acessíveis. **Recomendações** Para as versões 12.1.3.0.0, 12.2.1.3.0 e 12.2.1.4.0, atualize para uma versão que inclua a correção para este problema. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Apache Traffic Server, versões 6.0.0 a 6.2.3 Apache Traffic Server, versões 7.0.0 a 7.1.8 Apache Traffic Server, versões 8.0.0 a 8.0.5 **Descrição** O problema está relacionado à interpretação inconsistente de solicitações HTTP, especificamente com os cabeçalhos Transfer-Encoding e Content-Length no contexto de um proxy reverso e redirecionamento de proxy. Isso pode ser explorado por um invasor remoto para obter acesso a dados confidenciais, comprometer a integridade dos dados e causar uma negação de serviço. A vulnerabilidade envolve um ataque de contrabando. **Recomendações** Para as versões 6.0.0 a 6.2.3 do Apache Traffic Server, atualize para a versão 7.1.9 ou posterior. Para as versões 7.0.0 a 7.1.8 do Apache Traffic Server, atualize para a versão 7.1.9 ou posterior. Para as versões 8.0.0 a 8.0.5 do Apache Traffic Server, atualize para a versão 8.0.6 ou posterior.