PT
Español
English
Português
    Nota de Lançamento Aranda Service Desk V8 8.30.6

    Vulnerabilidades de segurança corrigidas

    Avisos de segurança abordados CVE Descrição
    Enviando arquivos autenticados para o Aranda ASDKAPI. CVE-2025-70995 Uma vulnerabilidade foi identificada no componente da API Aranda Service Desk Web Edition – ASDK, onde um atacante autenticado podia enviar um arquivo web.config malicioso, permitindo que o contexto de execução do diretório de upload fosse modificado e que código potencialmente arbitrário fosse executado no servidor.

    Solução implementada: Para mitigar esse cenário, os controles de validação de tipos de arquivo da API foram reforçados, especificamente: a lista branca de extensões permitidas foi atualizada, removendo a extensão .config.


    Validando extensões em anexos de criador Case

    Uma configuração é criada no serviço Windows ArandaCaseCreator_Mail para validar as extensões permitidas nos anexos durante a criação do caso.

    As extensões permitidas são definidas no Aranda.ACC.Windows.Service.exe.config do serviço ArandaCaseCreator_Mail.

    Se você precisar da modificação das extensões permitidas, execute o seguinte procedimento:

    1. Acesse o caminho de instalação de Criador do Caso Aranda (Padrão: C:\Program Files (x86)\Aranda\Aranda Case Creator).

    2. Abra o arquivo Aranda.ACC.Windows.Service.exe.config.

    3. Localize o trecho Configurações do aplicativo.

    4. Modificar o valor-chave aceitaExtensões, adicionando ou removendo extensões necessárias.

    Anotações:

    • Extensões devem ser separadas por vírgulas (,).
    • Não devem ser incluídos espaços em branco.

    5. Salve as alterações e reinicie o serviço ArandaCaseCreator_Mail para que o cenário entre em vigor.


    Importante: Se você usar Ferramentas Aranda Versão 8.8.4 ou superior, é obrigatório atualizar manualmente a DLL de serviço DBManager. Para obter o procedimento completo e obter a rota DLL, consulte o Notas de versão do Aranda Tools.


    NOTAS OU INSTRUÇÕES ADICIONAIS

    • Execute o arquivo “Aranda.ASDK.WebV8.Installer.exe” e siga as instruções do instalador.
    • O arquivo executável funciona como um instalador e uma ferramenta de atualização.
    • Esta atualização aplica-se apenas a bancos de dados na versão 8.0.171.
    • Se você tiver configurações personalizadas nos arquivos web.config, deverá reaplicar a configuração.
    • BATER PAPO: A partir do Chrome 62, o acesso às notificações Web Push para conexões HTTP não seguras foi bloqueado. Somente essas notificações serão suportadas com o protocolo HTTPS.
    • No mecanismo Oracle de banco de dados, o tamanho máximo do conteúdo de um artigo é de 32.000 caracteres. Se você precisar incluir imagens, recomendamos o uso de imagens com URLs públicas ou imagens vinculadas a um repositório remoto. Dessa forma, quando armazenados no banco de dados, eles serão referenciados com a URL da imagem e ocuparão menos espaço. Colar imagens locais não é recomendado, pois elas são referenciadas como imagens base64 completas.
    • As tags correspondentes a campos HTML, como descrição, solução e notas, não aplicarão alterações de estilo.