Arun Magesh

**Nome do software vulnerável e versões afetadas** Dr Trust ECG Pen versão 2.00.08 **Descrição** Uma falha permite que invasores acessem o servidor GATT do dispositivo sem a necessidade de emparelhamento ou medidas de segurança. Isso permite que invasores interceptem dados transmitidos durante as medições e extraiam dados salvos por meio de uma conexão Bluetooth. Além disso, invasores podem lançar um ataque man-in-the-middle contra a integridade dos dados. **Recomendações** Para o Dr Trust ECG Pen versão 2.00.08, considere desativar o suporte a Bluetooth LE até que um emparelhamento seguro ou mecanismo de segurança seja implementado para impedir o acesso não autorizado. Restrinja o acesso ao servidor GATT para minimizar o risco de interceptação e extração de dados. Evite usar o dispositivo para medições confidenciais até que a vulnerabilidade seja resolvida.

**Nome do software vulnerável e versões afetadas** HiveMQ Broker Control Center versão 4.3.2 **Descrição** Foi descoberta uma falha em que um parâmetro `clientid` malicioso em um pacote MQTT enviado ao Broker é refletido na seção do cliente do console de gerenciamento. Essa reflexão pode levar ao carregamento de um JavaScript do invasor em um navegador, resultando potencialmente no roubo da sessão e do cookie da conta de administrador do Broker. **Recomendações** Para o HiveMQ Broker Control Center versão 4.3.2, considere restringir o acesso ao console de gerenciamento para minimizar o risco de exploração. Como solução temporária, evite usar o parâmetro `clientid` em pacotes MQTT até que um patch esteja disponível. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** MoscaJS Aedes versão 0.42.0 **Descrição** Foi detectada uma falha no tratamento de exceções durante a gravação de um pacote inválido em um fluxo no arquivo lib/write.js. **Recomendações** Para a versão 0.42.0, atualize para a versão 0.42.1 para resolver o problema.

**Nome do software vulnerável e versões afetadas** Dispositivos Nescomed Multipara Monitor M1000 (versões afetadas não especificadas) **Descrição** Foi identificada uma falha pela qual o dispositivo habilita, por padrão, um serviço TELNET não criptografado, com uma senha em branco para a conta `admin`. Isso permite que um invasor obtenha acesso de root ao dispositivo através da rede local. **Recomendações** Para dispositivos Nescomed Multipara Monitor M1000, considere desativar o serviço TELNET ou definir uma senha forte para a conta `admin` a fim de impedir o acesso não autorizado. Restrinja o acesso ao dispositivo pela rede local para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Dispositivos Nescomed Multipara Monitor M1000 (versões afetadas não especificadas) **Descrição** Foi detectada uma falha pela qual a porta física de depuração UART dos dispositivos fornece um shell sem exigir senha, concedendo acesso total. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Nescomed Multipara Monitor M1000 (versões afetadas não especificadas) **Descrição** Foi detectada uma falha pela qual o armazenamento interno do sistema Linux subjacente no Nescomed Multipara Monitor M1000 armazena dados em texto simples, sem proteção de integridade contra adulteração. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Nescomed Multipara Monitor M1000 (versões afetadas não especificadas) **Descrição** Foi detectada uma falha em que a memória Flash integrada armazena dados em texto simples, sem proteção de integridade contra adulterações. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Apache ActiveMQ Artemis, versões 2.5.0 a 2.13.0 **Descrição** Um pacote MQTT especialmente criado com uma carga XSS como `client-id` ou `nome do tópico` pode explorar essa vulnerabilidade. A carga XSS é injetada no navegador do console de administração e é acionada no plugin de diagrama, especificamente no nó da fila e na seção de informações. **Recomendações** Para as versões 2.5.0 a 2.13.0 do Apache ActiveMQ Artemis, considere desativar o plug-in de diagrama como uma solução temporária até que um patch esteja disponível. Restrinja o acesso ao console de administração para minimizar o risco de exploração. Evite usar cargas XSS em `client-id` ou `topic name` para impedir que a vulnerabilidade seja acionada.