Badboycxcc

**Nome do software vulnerável e versões afetadas** XXL-JOB versões 2.2.0 e anteriores **Descrição** O problema diz respeito a uma vulnerabilidade de execução de comandos em tarefas em segundo plano, que é controversa, pois pode ser um caso de uso pretendido para a execução de scripts Bash arbitrários em nome dos usuários. **Recomendações** Para as versões 2.2.0 e anteriores do XXL-JOB, considere restringir a execução de tarefas em segundo plano ou limitar a capacidade de executar scripts Bash arbitrários para minimizar riscos potenciais até que uma resolução ou orientação mais clara seja fornecida. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** SolarView Compact versão 6.0 **Descrição** O problema está relacionado a uma vulnerabilidade de script entre sites (XSS). Essa vulnerabilidade foi identificada no componente Solar AiConf.php. **Recomendações** Para o SolarView Compact versão 6.0, atualize para uma versão que corrija a vulnerabilidade XSS no componente Solar AiConf.php. Como solução temporária, considere restringir o acesso ao componente Solar AiConf.php para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** SolarView Compact versão 6.0 **Descrição** A vulnerabilidade permite que invasores executem código arbitrário por meio de um arquivo PHP malicioso, explorando uma vulnerabilidade de upload de arquivos arbitrários no endpoint /images/background/1.php. **Recomendações** Para o SolarView Compact versão 6.0, considere desativar o endpoint /images/background/1.php até que uma correção esteja disponível, a fim de impedir uploads de arquivos arbitrários e a subsequente execução de código.

**Nome do software vulnerável e versões afetadas** NUUO Network Video Recorder NVRsolo versão 03.06.02 **Descrição** Foi detectada uma vulnerabilidade de cross-site scripting (XSS) refletido no arquivo `login.php`. Essa vulnerabilidade pode ser explorada por meio do endpoint `login.php`. O número estimado de dispositivos potencialmente afetados em todo o mundo não foi especificado. Não foram fornecidos detalhes sobre incidentes reais em que essa vulnerabilidade tenha sido explorada. **Recomendações** Para a versão 03.06.02, considere desativar o acesso ao endpoint “login.php” até que uma correção esteja disponível. Como solução temporária, restrinja o uso da funcionalidade de login para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Versões do firmware do NETGEAR ProSafe SSL VPN: FVS336Gv2 e FVS336Gv3 **Descrição** O problema está relacionado a uma vulnerabilidade de injeção de SQL via `USERDBDomains.Domainname` em “cgi-bin/platform.cgi”. Essa vulnerabilidade pode permitir que um invasor remoto execute consultas SQL arbitrárias. **Recomendações** Para as versões FVS336Gv2 e FVS336Gv3, como solução temporária, considere restringir o acesso ao endpoint “cgi-bin/platform.cgi” até que um patch esteja disponível. Evite usar a variável `USERDBDomains.Domainname` no endpoint da API afetado até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** WAVLINK WN535 G3 (versões afetadas não especificadas) **Descrição** A vulnerabilidade existe devido à proteção inadequada da estrutura da página web no componente /cgi-bin/login.cgi do firmware do repetidor WiFi WAVLINK WN535 G3. Isso permite que um invasor remoto realize um ataque de script entre sites (XSS) por meio do parâmetro `hostname` no endpoint da API “/cgi-bin/login.cgi”. **Recomendações** Como solução temporária, considere restringir o acesso ao endpoint da API “/cgi-bin/login.cgi” até que uma correção esteja disponível. Evite usar o parâmetro `hostname` no endpoint da API afetado até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.