Bhaskar Tejaswi

**Nome do software vulnerável e versões afetadas** Konker versão 2.3.9 **Descrição** O problema está relacionado a uma falsificação de solicitação entre sites (CSRF), que é um tipo de ataque que induz o usuário a realizar ações indesejadas em um aplicativo web. **Recomendações** Para a versão 2.3.9 do Konker, no momento, não há informações sobre uma versão mais recente que contenha uma correção para este problema.

**Nome do software vulnerável e versões afetadas** ResIOT IOT Platform + LoRaWAN Network Server, versões até 4.1.1000114 **Descrição** Uma vulnerabilidade do tipo Cross Site Request Forgery (CSRF) permite que invasores adicionem novos usuários administradores à plataforma ou causem outros impactos não especificados. Isso pode ser feito explorando a vulnerabilidade no software afetado, o que pode levar a acesso e modificações não autorizados. **Recomendações** Para versões até 4.1.1000114, atualize para uma versão que inclua uma correção para este problema, a fim de prevenir ataques CSRF. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** ResIOT IOT Platform + LoRaWAN Network Server, versões até 4.1.1000114 **Descrição** O problema diz respeito a várias vulnerabilidades de Cross Site Scripting (XSS). Essas vulnerabilidades podem ser exploradas por meio dos campos de formulário. **Recomendações** Para versões até 4.1.1000114, atualize para uma versão que contenha uma correção para este problema. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** ResIOT IOT Platform + LoRaWAN Network Server, versões até 4.1.1000114 **Descrição** O problema está relacionado a uma vulnerabilidade de injeção de SQL. Ela pode ser explorada por meio de uma solicitação POST maliciosa enviada ao endpoint da API “/ResiotQueryDBActive”. Isso permite o acesso não autorizado ou a manipulação de dados. **Recomendações** Para versões até 4.1.1000114, atualize para uma versão que contenha uma correção para este problema, pois o uso de uma solicitação POST maliciosa para o endpoint “/ResiotQueryDBActive” pode levar à injeção de SQL. Como solução temporária, considere restringir o acesso ao endpoint da API “/ResiotQueryDBActive” até que um patch esteja disponível.

**Nome do software vulnerável e versões afetadas** Boodskap IoT Platform versão 4.4.9-02 **Descrição** O problema está relacionado a uma vulnerabilidade de script entre sites (XSS). O script entre sites é um tipo de vulnerabilidade de segurança que ocorre quando um invasor consegue injetar scripts maliciosos em um site ou aplicativo, os quais são então executados pelo navegador do usuário. Isso pode permitir que o invasor roube dados do usuário, assuma o controle da sessão do usuário ou execute outras ações maliciosas. **Recomendações** Para a Plataforma Boodskap IoT versão 4.4.9-02, no momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Boodskap IoT Platform versão 4.4.9-02 **Descrição** A vulnerabilidade permite que invasores obtenham privilégios elevados por meio de uma solicitação maliciosa enviada ao endpoint da API “/api/user/upsert/<uuid>”. **Recomendações** Para a Boodskap IoT Platform versão 4.4.9-02, como solução temporária, considere restringir o acesso ao endpoint da API “/api/user/upsert/<uuid>” até que uma correção esteja disponível. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Boodskap IoT Platform versão 4.4.9-02 **Descrição** A vulnerabilidade permite que invasores realizem solicitações de API sem autenticação. **Recomendações** Para a Boodskap IoT Platform versão 4.4.9-02, considere restringir o acesso aos pontos de extremidade da API para impedir solicitações sem autenticação até que uma correção esteja disponível. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Versões do MQTTRoute anteriores à 3.3 **Descrição** Uma vulnerabilidade de falsificação de solicitação entre sites (CSRF) permite que invasores criem e removam painéis. **Recomendações** Para versões anteriores à 3.3, atualize para uma versão que inclua uma correção para essa vulnerabilidade. Como solução temporária, considere restringir o acesso às funcionalidades de criação e remoção de painéis até que um patch esteja disponível.

**Nome do software vulnerável e versões afetadas** MQTTRoute versões 3.3 e anteriores **Descrição** Uma vulnerabilidade de script entre sites (XSS) permite que invasores executem scripts da Web ou HTML arbitrários por meio de uma carga maliciosa injetada no campo de texto `nome do painel`. **Recomendações** Para as versões 3.3 e anteriores, considere desativar o campo de texto “dashboard name” até que uma correção esteja disponível para impedir a exploração. Restrinja o acesso ao painel para minimizar o risco de execução de scripts arbitrários. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** DGIOT Lightweight industrial IoT versão 4.5.4 **Descrição** O problema diz respeito a várias vulnerabilidades de cross-site scripting (XSS). O XSS é um tipo de vulnerabilidade de segurança que permite que um invasor insira scripts maliciosos em um site, o que pode levar ao acesso não autorizado ou ao controle das sessões dos usuários. **Recomendações** Para a versão 4.5.4, atualize para uma versão mais recente que contenha uma correção para este problema, pois o uso de software desatualizado pode expor os usuários a riscos de segurança. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Versões da plataforma ThingsBoard IoT anteriores à 3.3.4.1 **Descrição** O problema está relacionado a Cross Site Scripting (XSS) na plataforma ThingsBoard IoT. Ele ocorre quando um valor malicioso é enviado aos registros de auditoria, o que pode permitir ações maliciosas. **Recomendações** Para versões anteriores à 3.3.4.1, atualize para uma versão que contenha uma correção para este problema. Como solução temporária, considere restringir o acesso aos logs de auditoria para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Versões do OpenRemote anteriores à 1.0.5 **Descrição** Uma falha no OpenRemote permite que invasores executem código arbitrário por meio de uma regra Groovy maliciosa. **Recomendações** Para versões do OpenRemote anteriores à 1.0.5, atualize para a versão 1.0.5 ou posterior para resolver o problema.