Angel Lomeli

**Name of the Vulnerable Software and Affected Versions** Airleader Master versions 6.381 and prior **Description** Airleader Master versions 6.381 and prior have a flaw allowing unrestricted file uploads to multiple webpages running with maximum privileges. This could allow an unauthenticated user to achieve remote code execution on the server. This issue affects industrial systems, particularly those managing compressed air, and poses a high risk to critical infrastructure sectors. Multiple reports indicate the potential for exploitation, with some sources describing a trivial path to remote root access. **Recommendations** Apply vendor fixes or mitigations for versions prior to and including 6.381. Restrict remote access to the controller interfaces for versions prior to and including 6.381. Segment networks to limit the potential impact of exploitation for versions prior to and including 6.381.

**Nome do Software Vulnerável e Versões Afetadas** Versões do Airleader Master e Easy anteriores à 6.36 **Descrição** O problema permite que atacantes remotos executem comandos arbitrários por meio de um upload de arquivos sem restrições no painel do Panel Designer. Isso pode ser explorado ao fazer login no console de administrador, que possui credenciais padrão fracas e facilmente previsíveis, e então enviar um arquivo JSP via painel. O endpoint `wizard/workspace.jsp` é especificamente vulnerável a este tipo de ataque, permitindo o upload de arquivos maliciosos. **Recomendações** Para versões anteriores à 6.36, atualize para a versão 6.36 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso ao console de administrador e alterar as credenciais padrão para senhas mais fortes e exclusivas. Além disso, restrinja a capacidade de upload de arquivos via painel do Panel Designer para minimizar o risco de exploração.