Bronallo-Bd

**Nome do software vulnerável e versões afetadas** Zephyr OS (versões afetadas não especificadas) **Descrição** O problema diz respeito ao tratamento de pacotes IP no Zephyr OS. Especificamente, ele não descarta corretamente os pacotes IP que chegam em uma interface externa com endereço de origem igual a 127.0.0.1 ou com o endereço de destino. Isso poderia potencialmente levar a problemas de segurança, embora não sejam fornecidos detalhes específicos sobre o número estimado de dispositivos afetados ou incidentes reais. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Name of the Vulnerable Software and Affected Versions** Cacti version 1.2.25 **Description** Cacti provides an operational monitoring and fault management framework. A Blind SQL Injection vulnerability exists within the SNMP Notification Receivers feature in the file `managers.php`. An authenticated attacker with the "Settings/Utilities" permission can send a crafted HTTP GET request to the endpoint `/cacti/managers.php` with an SQLi payload in the `selected graphs array` HTTP GET parameter. The vulnerability could lead to information disclosure and potentially remote code execution. Approximately 60,887 devices are potentially affected, mainly distributed in the United States, China, and other countries. **Recommendations** As a temporary workaround, consider disabling the `selected graphs array` parameter in the `/cacti/managers.php` endpoint until a patch is available. Restrict access to the `managers.php` file to minimize the risk of exploitation. Avoid using the `selected graphs array` parameter in the affected API endpoint until the issue is resolved. At the moment, there is no information about a newer version that contains a fix for this vulnerability.

**Nome do software vulnerável e versões afetadas** Versões do Zephyr >= v2.5.0 **Descrição** O problema está relacionado a uma asserção alcançável com LL FEATURE REQ repetido, classificada como uma Asserção Alcancável (CWE-617). **Recomendações** Para as versões do Zephyr >= v2.5.0, no momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Versões do Zephyr >= v2.5.0 **Descrição** O problema decorre de um mapeamento de canais inválido no CONNECT IND, resultando em um impasse devido a uma verificação ou tratamento inadequado de condições excepcionais. Isso é classificado como CWE-703. **Recomendações** Para versões do Zephyr >= v2.5.0, considere desativar temporariamente a funcionalidade CONNECT IND até que um patch esteja disponível para evitar impasses causados por mapas de canal inválidos. Restrinja o acesso ao módulo vulnerável para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Versões do Zephyr >= v2.4.0 **Descrição** O problema está relacionado a um vazamento de informações na função `le ecred conn req()`, causado pelo uso de um recurso não inicializado. Isso é classificado como uma vulnerabilidade CWE-908. **Recomendações** Para versões do Zephyr >= v2.4.0, considere desativar a função `le ecred conn req()` até que um patch esteja disponível para evitar um possível vazamento de informações. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Versões do Zephyr >= v2.5.0 **Descrição** Existe uma vulnerabilidade de estouro de buffer baseada na pilha na função `le ecred conn req()`. Essa vulnerabilidade está relacionada a um estouro de buffer baseado na pilha, que pode ser explorado. **Recomendações** Para versões do Zephyr >= v2.5.0, considere desativar a função `le ecred conn req()` até que um patch esteja disponível. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Versões do Zephyr >= v1.14 **Descrição** O problema está relacionado a uma asserção alcançável com repetição de LL CONNECTION PARAM REQ, classificada como Reachable Assertion (CWE-617). Isso ocorre quando o `LL CONNECTION PARAM REQ` é repetido, levando a uma asserção alcançável. **Recomendações** Para versões do Zephyr >= v1.14, considere desativar o `LL CONNECTION PARAM REQ` repetido para minimizar o risco de exploração até que um patch esteja disponível. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas: Zephyr versões 2.4.0 e posteriores Descrição: O problema é causado por um quadro K do L2CAP truncado, levando a uma falha de asserção. Isso se deve ao tratamento inadequado da inconsistência do parâmetro de comprimento e a uma asserção de acessibilidade. Recomendações: Para as versões 2.4.0 e posteriores do Zephyr, atualize para uma versão que contenha uma correção para o tratamento inadequado da inconsistência do parâmetro de comprimento e da asserção de acessibilidade. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.