Alan Chung

**Name of the Vulnerable Software and Affected Versions** MeetingHub (affected versions not specified) **Description** MeetingHub developed by HAMASTAR Technology has an Arbitrary File Read issue. Unauthenticated remote attackers can exploit Absolute Path Traversal to download arbitrary system files. The vulnerability allows attackers to access files on the system without needing to authenticate. **Recommendations** At the moment, there is no information about a newer version that contains a fix for this vulnerability.

**Name of the Vulnerable Software and Affected Versions** MeetingHub (affected versions not specified) **Description** MeetingHub, developed by HAMASTAR Technology, has an arbitrary file upload issue. This allows unauthenticated remote attackers to upload and execute web shell backdoors, leading to arbitrary code execution on the server. The issue allows for the upload of files, such as `test.php`, via a POST request to the `/upload` API endpoint. Successful exploitation enables remote code execution (RCE) without authentication. **Recommendations** At the moment, there is no information about a newer version that contains a fix for this vulnerability.

**Name of the Vulnerable Software and Affected Versions** MeetingHub (affected versions not specified) **Description** A missing authentication issue exists in MeetingHub, developed by HAMASTAR Technology. This allows unauthenticated remote attackers to access specific API functions and obtain meeting-related information. The vulnerable API functions allow access to meeting data without proper authorization. **Recommendations** At the moment, there is no information about a newer version that contains a fix for this vulnerability.

**Nome do Software Vulnerável e Versões Afetadas** BPMFlowWebkit (versões afetadas não especificadas) **Descrição** O BPMFlowWebkit, desenvolvido pela WELLTEND TECHNOLOGY, possui uma falha que permite a atacantes remotos não autenticados baixar arquivos arbitrários do sistema explorando Traversal de Caminho Absoluto. A vulnerabilidade permite a leitura arbitrária de arquivos. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** BPMFlowWebkit (versões afetadas não especificadas) **Descrição** O BPMFlowWebkit, desenvolvido pela WELLTEND TECHNOLOGY, possui uma vulnerabilidade de upload arbitrário de arquivos. Isso permite que atacantes remotos não autenticados façam upload e executem backdoors do tipo web shell, resultando em execução arbitrária de código no servidor. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** QOCA aim da Quanta Computer (versões afetadas não especificadas) **Descrição** O QOCA aim da Quanta Computer apresenta uma vulnerabilidade de contorno de autorização por meio de chave controlada pelo usuário. Ao controlar o parâmetro `user ID`, invasores remotos com privilégios normais poderiam acessar determinados recursos como qualquer usuário, modificar as informações e privilégios da conta de qualquer usuário, levando à escalada de privilégios. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** N-Reporter e N-Cloud (versões afetadas não especificadas) **Descrição** O problema é uma vulnerabilidade de injeção de comando no sistema operacional, permitindo que invasores remotos com privilégios de usuário normal executem comandos arbitrários do sistema ao manipular entradas do usuário em uma página específica. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Name of the Vulnerable Software and Affected Versions** SmartBPM.NET (affected versions not specified) **Description** The issue concerns a path traversal vulnerability within the file download function of SmartBPM.NET, allowing an unauthenticated remote attacker to access arbitrary system files. Additionally, there is a vulnerability related to the use of a hard-coded authentication key, which can be exploited by an unauthenticated remote attacker to access the system with regular user privileges, enabling them to read application data and execute submission and approval processes. **Recommendations** At the moment, there is no information about a newer version that contains a fix for this vulnerability.

**Name of the Vulnerable Software and Affected Versions** SmartSoft SmartBPM.NET (affected versions not specified) **Description** The issue is related to the use of a hard-coded machine key in SmartSoft SmartBPM.NET. This allows an unauthenticated remote attacker to send a serialized payload to the server, potentially executing arbitrary code and disrupting service. **Recommendations** At the moment, there is no information about a newer version that contains a fix for this vulnerability.

**Name of the Vulnerable Software and Affected Versions** SmartBPM.NET (affected versions not specified) **Description** The issue is related to the use of a hard-coded authentication key. An unauthenticated remote attacker can exploit this to access the system with regular user privilege, allowing them to read application data and execute submission and approval processes. **Recommendations** At the moment, there is no information about a newer version that contains a fix for this vulnerability.

**Nome do software vulnerável e versões afetadas** Sistema de gestão empresarial Agentflow BPM (versões afetadas não especificadas) **Descrição** O problema está relacionado a uma autenticação inadequada no sistema de gestão empresarial Agentflow BPM. Um invasor remoto com privilégios de usuário comum pode explorar essa vulnerabilidade alterando o nome da conta de usuário para obter privilégios arbitrários na conta. Isso permite que o invasor acesse, manipule o sistema ou interrompa o serviço. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Agentflow BPM (versões afetadas não especificadas) **Descrição** A função de download de arquivos do Agentflow BPM apresenta uma vulnerabilidade de traversal de caminho. Isso permite que um invasor remoto não autenticado contorne a autenticação e baixe arquivos de sistema arbitrários. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Agentflow BPM (versões afetadas não especificadas) **Descrição** A função de envio de arquivos apresenta filtragem insuficiente para caracteres especiais em URLs. Um invasor remoto não autenticado pode explorar essa vulnerabilidade para enviar arquivos arbitrários e executar código arbitrário, podendo manipular o sistema ou interromper o serviço. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** UltraLog Express (versões afetadas não especificadas) **Descrição** A interface de gerenciamento de dispositivos do UltraLog Express apresenta uma falha na autenticação de acesso em determinadas páginas ou funções. Isso permite que qualquer usuário acesse uma página privilegiada para gerenciamento de contas navegando por um diretório específico do sistema. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** UltraLog Express (versões afetadas não especificadas) **Descrição** O problema diz respeito à interface de gerenciamento de dispositivos do UltraLog Express, que não filtra adequadamente as cadeias de caracteres inseridas pelo usuário em parâmetros específicos. Isso permite que invasores injetem comandos SQL arbitrários. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Software de gerenciamento de dispositivos UltraLog Express (versões afetadas não especificadas) **Descrição** O problema diz respeito ao armazenamento de informações do usuário em texto simples pelo software de gerenciamento de dispositivos UltraLog Express. Isso permite que qualquer usuário obtenha informações da conta por meio de uma página específica. Não há informações sobre o número estimado de dispositivos potencialmente afetados ou incidentes reais em que essa vulnerabilidade tenha sido explorada. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.