0Xc0Ffeee

**Nome do software vulnerável e versões afetadas** Versões do R-HUB TurboMeeting até a 8.x **Descrição** O mecanismo de redefinição de senha na funcionalidade “Esqueci a senha” permite que invasores remotos não autenticados forcem o aplicativo a redefinir a senha do administrador para um valor aleatório e inseguro de 8 dígitos. **Recomendações** Para as versões do R-HUB TurboMeeting até a 8.x, considere desativar temporariamente a funcionalidade “Esqueci a senha” até que um patch esteja disponível para impedir redefinições não autorizadas de senha. Restrinja o acesso à conta de administrador para minimizar o risco de exploração. Evite usar o recurso “Esqueci a senha” até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Versões do R-HUB TurboMeeting anteriores à 9.x **Descrição** Uma vulnerabilidade de injeção de comando na funcionalidade de Solicitação de Assinatura de Certificado (CSR) permite que invasores autenticados com privilégios de administrador executem comandos arbitrários no servidor subjacente como usuário root. **Recomendações** Para versões do R-HUB TurboMeeting anteriores à 9.x, atualize para a versão 9.x ou posterior para resolver o problema. Como solução alternativa temporária, considere restringir o acesso à funcionalidade CSR para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Versões do R-HUB TurboMeeting até a 8.x **Descrição** Uma vulnerabilidade de injeção de SQL baseada em valores booleanos no endpoint “Virtual Meeting Password” (VMP) permite que invasores remotos não autenticados extraiam senhas com hash do banco de dados e se autentiquem na aplicação por meio de entradas SQL maliciosas. **Recomendações** Para as versões do R-HUB TurboMeeting até a 8.x, considere restringir o acesso ao endpoint Virtual Meeting Password até que uma correção esteja disponível. Como solução alternativa temporária, evite usar entradas SQL maliciosas no endpoint VMP para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.