Zhang Yonglun

**Nome do software vulnerável e versões afetadas** Apache ShenYu (incubação) versões 2.4.0 a 2.4.2 **Descrição** O problema decorre do uso de `Pattern.matches()` em `RegexPredicateJudge.java`, onde ambos os parâmetros são controláveis pelo usuário. Isso permite que um invasor insira expressões regulares e caracteres maliciosos, causando esgotamento de recursos. **Recomendações** Para as versões 2.4.0, 2.4.1 e 2.4.2, atualize para a versão 2.4.3 para resolver o problema. Como solução temporária, considere restringir a entrada do usuário para os parâmetros `conditionData.getParamValue()` e `realData` para impedir que expressões regulares maliciosas sejam executadas.

**Nome do software vulnerável e versões afetadas** Apache ShenYu, versões 2.4.0 a 2.4.1 **Descrição** O problema está relacionado a um gerenciamento incorreto da geração de código, o que pode ser explorado para executar código arbitrário por meio da injeção de código Groovy ou da injeção SpEL, levando à execução remota de código. Isso pode ser feito por um invasor remoto. **Recomendações** Para as versões 2.4.0 e 2.4.1 do Apache ShenYu, considere desativar as funcionalidades de injeção de código Groovy e injeção SpEL até que um patch esteja disponível. Restrinja o acesso aos componentes afetados para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Apache ShenYu, versões 2.4.0 a 2.4.1 **Descrição** O problema está relacionado à falta de autenticação no ShenYu Admin durante o registro via HTTP, o que pode permitir que um invasor remoto contorne as restrições de segurança. **Recomendações** Para as versões 2.4.0 e 2.4.1 do Apache ShenYu, considere desativar a funcionalidade de registro via HTTP até que um patch esteja disponível. Restrinja o acesso ao módulo ShenYu Admin para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Apache ShenYu, versões 2.4.0 a 2.4.1 **Descrição** O problema está relacionado à proteção insuficiente dos dados de registro, permitindo que um invasor remoto obtenha os dados de registro do usuário por meio de uma solicitação HTTP especialmente criada. Isso pode levar à divulgação das senhas dos usuários. O número estimado de dispositivos potencialmente afetados não foi especificado. **Recomendações** Para as versões 2.4.0 e 2.4.1 do Apache ShenYu, atualize para a versão 2.4.2 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso ao endpoint afetado para minimizar o risco de exploração. Evite usar o endpoint HTTP afetado até que o problema seja resolvido.