Actuator

**Nome do Software Vulnerável e Versões Afetadas** Genspark AI Workspace App versão 2.8.4 **Description** Um problema existe no componente `ai.mainfunc.genspark` do aplicativo Android. Ocorre uma autorização inadequada no manipulador de esquemas de URL personalizados, que pode ser explorada por um atacante a partir de um ambiente local. **Recommendations** No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** iAI Lab PDF AI App versão 4.21.0 **Description** Um problema de path traversal existe na função `getExternalCacheDir()` do componente `chatpdf.pro`. Esta falha permite que um invasor local realize a travessia de diretórios ao manipular a variável ` display name`. **Recommendations** No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.

**Name of the Vulnerable Software and Affected Versions** GoAhead-Webs on KuWFi 4G LTE AC900 version 1.0.13 **Description** A stack-based buffer overflow exists in the GoAhead-Webs HTTP daemon. The `/goform/formMultiApnSetting` handler uses `sprintf()` to copy the `pincode` parameter, supplied by the user, into a fixed 132-byte stack buffer without proper bounds checking. This can lead to corruption of adjacent stack memory, potentially causing the web server to crash and, under specific circumstances, enabling arbitrary code execution. The vulnerable parameter is `pincode`. **Recommendations** Update to a newer version that contains a fix for this vulnerability.

**Name of the Vulnerable Software and Affected Versions** KuWFi CPF908-CP5 WEB5.0 LCD 20210125 **Description** Problemas de controle de acesso não autenticado existem nos endpoints 'goform/goform set cmd process' e 'goform/goform get cmd process'. Essas falhas permitem que um atacante não autenticado recupere informações confidenciais, como o nome de usuário e a senha do administrador do dispositivo, modifique configurações críticas do dispositivo e envie mensagens SMS arbitrárias. **Recommendations** No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.

**Name of the Vulnerable Software and Affected Versions** FIRSTNUM JC21A-04 devices versions through 2.01ME/FN **Description** FIRSTNUM JC21A-04 devices enable the SSH service by default with the credentials `root`/`admin`. The graphical user interface (GUI) does not provide a method to disable this account. **Recommendations** For versions through 2.01ME/FN, change the default `root` account password or disable the SSH service.

**Nome do Software Vulnerável e Versões Afetadas** Jointelli 5G CPE 21H01 versão do firmware 1.36 **Descrição** O firmware 1.36 do Jointelli 5G CPE 21H01 contém uma vulnerabilidade de injeção cega de comandos do sistema operacional. Múltiplos endpoints da API estão vulneráveis, incluindo `/ubus/?flag=set WPS pin`, `/ubus/?flag=netAppStar1` e `/ubus/?flag=set wifi cfgs`. Um atacante autenticado pode executar comandos arbitrários do sistema operacional com privilégios de root fornecendo entradas manipuladas aos campos SSID, WPS, Traceroute e Ping. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** Dispositivos FIRSTNUM JC21A-04 versões até 2.01ME/FN **Descrição** Uma falha permite que atacantes autenticados executem comandos arbitrários do sistema operacional com privilégios de root por meio de payloads elaborados no endpoint `xml action.cgi?method=`. **Recomendações** Atualize os dispositivos FIRSTNUM JC21A-04 para uma versão posterior a 2.01ME/FN.

**Nome do Software Vulnerável e Versões Afetadas** com.skt.prod.dialer versões até a 12.5.0 **Descrição** O aplicativo permite que qualquer aplicativo instalado, sem exigir nenhuma permissão, inicie chamadas telefônicas sem interação do usuário. Isso é realizado enviando um intent especialmente elaborado para o componente `com.skt.prod.dialer.activities.outgoingcall.OutgoingCallInternalBroadcaster`. **Recomendações** Atualize o com.skt.prod.dialer para uma versão superior à 12.5.0.