Adam Foster

**Nome do software vulnerável e versões afetadas** Firmware da Kastle Systems anterior a 1º de maio de 2024 **Descrição** O problema diz respeito a uma credencial codificada no firmware que, se obtida, pode permitir que um invasor acesse informações confidenciais. **Recomendações** Para o firmware da Kastle Systems anterior a 1º de maio de 2024, considere atualizar para uma versão lançada após 1º de maio de 2024, a fim de remover a credencial codificada e mitigar o risco de acesso a informações confidenciais. Como solução temporária, restrinja o acesso ao firmware até que um patch esteja disponível.

**Nome do software vulnerável e versões afetadas** Firmware da Kastle Systems anterior a 1º de maio de 2024 **Descrição** O problema diz respeito ao armazenamento de credenciais da máquina em texto simples, o que pode permitir que um invasor acesse informações confidenciais. **Recomendações** Para o firmware da Kastle Systems anterior a 1º de maio de 2024, atualize para uma versão lançada após 1º de maio de 2024 para resolver o problema.

**Nome do software vulnerável e versões afetadas** Evolution Controller versões 2.04.560.31.03.2024 e anteriores **Descrição** A interface web do Evolution Controller não sanitiza adequadamente as entradas do usuário, permitindo que um invasor não autenticado provoque uma falha no software do controlador. **Recomendações** Para as versões 2.04.560.31.03.2024 e anteriores, considere desativar a interface Web até que uma correção esteja disponível para evitar possíveis falhas causadas por invasores não autenticados. Restrinja o acesso à interface Web para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Evolution Controller versões 2.04.560.31.03.2024 e anteriores **Descrição** A interface web do Evolution Controller contém um controle de acesso mal configurado no endpoint `DESKTOP EDIT USER GET CARD`, permitindo que um invasor não autenticado obtenha os dados do valor do cartão de qualquer usuário. **Recomendações** Para as versões 2.04.560.31.03.2024 e anteriores do Evolution Controller, considere restringir o acesso ao endpoint `DESKTOP EDIT USER GET CARD` até que uma correção esteja disponível. Como solução temporária, limite o uso da interface web apenas ao pessoal autorizado. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Evolution Controller versões 2.04.560.31.03.2024 e anteriores **Descrição** O problema diz respeito a um controle de acesso mal configurado no endpoint `DESKTOP EDIT USER GET PIN FIELDS`, permitindo que um invasor não autenticado obtenha o valor do PIN de qualquer usuário. **Recomendações** Para as versões 2.04.560.31.03.2024 e anteriores, considere restringir o acesso ao endpoint `DESKTOP EDIT USER GET PIN FIELDS` até que uma correção adequada seja aplicada. Como solução temporária, limite a funcionalidade que depende desse endpoint para evitar possíveis explorações. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Evolution Controller versões 2.04.560.31.03.2024 e anteriores **Descrição** A interface web do Evolution Controller contém um controle de acesso mal configurado, permitindo que um invasor não autenticado atualize e adicione perfis de usuário dentro do aplicativo, obtendo acesso total ao site. Esta vulnerabilidade também afeta o componente `DESKTOP EDIT USER GET KEYS FIELDS`, permitindo que um invasor obtenha o valor das chaves de qualquer usuário. **Recomendações** Para as versões 2.04.560.31.03.2024 e anteriores do Evolution Controller, considere restringir o acesso à interface web até que um patch esteja disponível. Como solução temporária, limite a funcionalidade do componente `DESKTOP EDIT USER GET KEYS FIELDS` para impedir o acesso não autorizado. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Evolution Controller versões 2.04.560.31.03.2024 e anteriores **Descrição** O problema diz respeito a um controle de acesso mal configurado no endpoint `DESKTOP EDIT USER GET ABACARD FIELDS`, permitindo que um invasor não autenticado retorne o campo `abacard` de qualquer usuário. **Recomendações** Para as versões 2.04.560.31.03.2024 e anteriores do Evolution Controller, considere restringir o acesso ao endpoint `DESKTOP EDIT USER GET ABACARD FIELDS` até que uma correção adequada seja aplicada. Como solução temporária, limite a exposição do campo `abacard` para minimizar o risco de acesso não autorizado. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Evolution Controller versões 2.04.560.31.03.2024 e anteriores **Descrição** A interface web do Evolution Controller apresenta um controle de acesso mal configurado no endpoint “MOBILE GET USERS LIST”, permitindo que um invasor não autenticado identifique todos os usuários e seus níveis de acesso. **Recomendações** Para as versões 2.04.560.31.03.2024 e anteriores, considere restringir o acesso ao endpoint “MOBILE GET USERS LIST” até que uma correção esteja disponível. Como solução temporária, limite as informações divulgadas pelo endpoint “MOBILE GET USERS LIST” para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Evolution Controller versões 2.04.560.31.03.2024 e anteriores **Descrição** O problema diz respeito a um controle de acesso mal configurado em `DESKTOP EDIT USER GET KEYS FIELDS` na interface web, permitindo que um invasor não autenticado obtenha o valor das chaves de qualquer usuário. **Recomendações** Para as versões 2.04.560.31.03.2024 e anteriores do Evolution Controller, considere restringir o acesso a `DESKTOP EDIT USER GET KEYS FIELDS` até que uma correção adequada seja aplicada. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Evolution Controller versões 2.04.560.31.03.2024 e anteriores **Descrição** A interface web do Evolution Controller apresenta falhas no gerenciamento de sessões, permitindo que um invasor não autenticado acesse funcionalidades de administrador caso outro usuário já esteja conectado. **Recomendações** Para as versões 2.04.560.31.03.2024 e anteriores do Evolution Controller, considere restringir o acesso à interface web até que uma correção esteja disponível e certifique-se de que todos os usuários façam logout ao terminar de usar o sistema para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.