0Xsamy

**Nome do software vulnerável e versões afetadas** F-logic DataCube3 versão 1.0 **Descrição** O problema é uma vulnerabilidade de cross-site scripting (XSS) refletido, causada por uma sanitização inadequada de entradas. Um invasor remoto autenticado pode executar código JavaScript arbitrário na interface de gerenciamento web. **Recomendações** Para o F-logic DataCube3 versão 1.0, considere implementar uma sanitização adequada de entradas para impedir a execução de código JavaScript arbitrário. Como solução temporária, restrinja o acesso à interface de gerenciamento web para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** F-logic DataCube3 versão 1.0 **Descrição** A vulnerabilidade permite que um agente mal-intencionado não autenticado execute consultas SQL arbitrárias no banco de dados devido a injeção de SQL não autenticada. **Recomendações** Para o F-logic DataCube3 versão 1.0, considere restringir o acesso ao banco de dados para minimizar o risco de exploração até que uma correção esteja disponível. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** F-logic DataCube3 versão 1.0 **Descrição** A vulnerabilidade está relacionada a um controle de acesso insuficiente no software do sistema de medição de terminais F-logic DataCube3 para sistemas de geração de energia. Isso pode ser explorado por um invasor remoto não autenticado para obter as senhas das contas root e admin. A exploração envolve o envio de uma URI com o caminho do arquivo de configuração, aproveitando-se de restrições inadequadas de acesso ao diretório. **Recomendações** Para o F-logic DataCube3 versão 1.0, considere restringir o acesso ao arquivo de configuração e implementar controles de acesso a diretórios adequados para impedir o acesso não autorizado até que uma correção esteja disponível. Como solução temporária, limite o acesso remoto ao sistema para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** F-logic DataCube3 versão 1.0 **Descrição** O problema está relacionado ao envio irrestrito de arquivos, o que poderia permitir que um agente mal-intencionado autenticado enviasse um arquivo de tipo perigoso manipulando a extensão do nome do arquivo. Isso poderia, potencialmente, permitir que um invasor remoto executasse código arbitrário. **Recomendações** Para o F-logic DataCube3 versão 1.0, considere restringir o upload de arquivos para permitir apenas tipos de arquivos específicos e seguros até que uma correção esteja disponível. Como solução alternativa temporária, desativar a funcionalidade de upload de arquivos pode ajudar a minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Contec FXA3200 versões 1.13 e anteriores **Descrição** O problema diz respeito a uma senha hash codificada de forma rígida para o usuário root, armazenada no componente `/etc/shadow`. Essa senha é fraca e pode ser quebrada em poucos minutos. Uma vez obtida a senha, um agente mal-intencionado pode acessar a interface do Wireless LAN Manager, abrir a porta telnet e, então, monitorar o tráfego ou injetar malware. **Recomendações** Para as versões 1.13 e anteriores do Contec FXA3200, considere alterar a senha hash codificada para o usuário root por uma mais forte e restringir o acesso à interface do Wireless LAN Manager até que um patch esteja disponível. Como solução temporária, desative a porta telnet para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Planex MZK-DP150N, versões 1.42 a 1.43 **Descrição** O problema está relacionado a permissões inseguras na interface de administração, permitindo que invasores executem comandos do sistema como root por meio do arquivo etc ro/web/syscmd.asp. Isso pode ser explorado por um invasor remoto para executar comandos arbitrários usando um arquivo syscmd.asp especialmente criado. **Recomendações** Para as versões 1.42 e 1.43 do Planex MZK-DP150N, considere restringir o acesso ao arquivo etc ro/web/syscmd.asp para impedir a exploração até que uma correção esteja disponível. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.