Adam Simuntis

**Name of the Vulnerable Software and Affected Versions** Pega Platform versions 7.2 through 8.8.1 **Description** The issue is related to an XSS problem. **Recommendations** For Pega Platform versions 7.2 through 8.8.1, update to a version that includes a fix for this issue.

**Nome do software vulnerável e versões afetadas: Grandstream HT801 versões anteriores à 1.0.29 Descrição: O problema está relacionado a vários estouros de buffer no shell de configuração restrita (/sbin/gs config), que permitem que usuários remotos autenticados executem código arbitrário como root por meio de uma configuração `manage if` maliciosamente criada. Isso contorna as restrições pretendidas do shell, permitindo o controle total do dispositivo. Credenciais fracas padrão podem ser usadas para autenticação. Recomendações: Para versões anteriores à 1.0.29, atualize para a versão 1.0.29 ou posterior para resolver o problema. Como solução temporária, considere alterar as credenciais fracas padrão para credenciais fortes e restringir o acesso ao shell `/sbin/gs config` até que a atualização possa ser aplicada.

**Nome do software vulnerável e versões afetadas: Adaptador telefônico analógico Grandstream HT801, versões anteriores à 1.0.29.8 Descrição: Foi descoberta uma vulnerabilidade no adaptador de telefone analógico Grandstream HT801. A partir do shell de configuração limitado, é possível definir a variável maliciosa `gdb debug server`. Como resultado, após uma reinicialização, o dispositivo baixa e executa scripts maliciosos de um host definido pelo invasor. Recomendações: Para versões anteriores à 1.0.29.8, atualize para a versão 1.0.29.8 ou posterior para resolver o problema. Como solução alternativa temporária, considere restringir o acesso ao shell de configuração para minimizar o risco de exploração. Evite usar a variável `gdb debug server` na configuração até que o problema seja resolvido.

**Name of the Vulnerable Software and Affected Versions** D-Link DSL-3782 version EU v. 1.01 **Description** The issue concerns a buffer overflow in the diagnostics functionality of the affected device. This allows authenticated remote attackers to execute arbitrary code by sending a long `Addr` value to the `set Diagnostics Entry` function in an HTTP request. The vulnerability is related to the `/userfs/bin/tcapi` endpoint. **Recommendations** For D-Link DSL-3782 version EU v. 1.01, consider disabling the `set Diagnostics Entry` function as a temporary workaround until a patch is available. Restrict access to the `/userfs/bin/tcapi` endpoint to minimize the risk of exploitation. Avoid using long `Addr` values in HTTP requests to the affected function until the issue is resolved.

**Name of the Vulnerable Software and Affected Versions** artmedic links5 version 5.0 **Description** The issue allows remote attackers to execute arbitrary PHP code by modifying the `id` parameter to reference a URL on a remote web server that contains the code. This is related to a remote file inclusion vulnerability in the index.php file. **Recommendations** For artmedic links5 version 5.0, consider restricting access to the `id` parameter in the index.php file to minimize the risk of exploitation. Avoid using the `id` parameter to reference external URLs until the issue is resolved. At the moment, there is no information about a newer version that contains a fix for this vulnerability.