Cale Black

**Name of the Vulnerable Software and Affected Versions** SmarterTools SmarterMail versions prior to build 9518 **Description** The application base64-decodes attacker-supplied input and uses it as a filesystem path without validation. This affects the background-of-the-day preview endpoint. On Windows systems, this allows UNC paths to be resolved, causing the SmarterMail service to initiate outbound SMB authentication attempts to attacker-controlled hosts. This can be abused for credential coercion, NTLM relay attacks, and unauthorized network authentication. The vulnerability allows an attacker to provide input that is then used as a filesystem path without proper validation. **Recommendations** Update SmarterTools SmarterMail to build 9518 or later.

**Nome do Software Vulnerável e Versões Afetadas** Versões do SmarterTools SmarterMail anteriores ao build 9511 **Descrição** O SmarterTools SmarterMail contém uma falha de execução remota de código sem autenticação no método API ConnectToHub. Essa falha permite que atacantes direcionem o servidor SmarterMail para um servidor HTTP malicioso, que então disponibiliza um comando malicioso do sistema operacional que é executado pela aplicação vulnerável. Esta vulnerabilidade, rastreada como CVE-2026-24423, possui uma pontuação CVSS de 9.3 e está sendo ativamente explorada por atores de ransomware, incluindo o grupo de ransomware Warlock. A vulnerabilidade afeta versões anteriores ao build 9511 e permite que atacantes executem código arbitrário sem autenticação via o **Endpoint da API** `/api/v1/settings/sysadmin/connect-to-hub`. A vulnerabilidade foi descoberta pela WatchTowr Labs e corrigida em 15 de janeiro de 2026. Relatos indicam que mais de 6.000 instâncias estão expostas globalmente. O grupo de ransomware Warlock foi observado explorando esta vulnerabilidade, e a CISA a adicionou ao catálogo de Vulnerabilidades Exploradas Conhecidas, estabelecendo um prazo de remediação até 26 de fevereiro de 2026 para agências federais. Os atacantes são conhecidos por estabelecer acesso antecipadamente por vários dias antes de implantar ransomware e utilizar ferramentas como o Velociraptor para movimento lateral e criptografia. **Recomendações** Atualize o SmarterMail para a versão 9511 ou posterior.

**Nome do Software Vulnerável e Versões Afetadas** Versões do Flowise 3.0.1 a 3.0.7 Versões do Flowise 3.0.8 e posteriores com 'ALLOW BUILTIN DEP' habilitado **Descrição** O software contém uma vulnerabilidade de execução remota de código autenticada e um escape da sandbox da VM do Node. Isso se deve ao uso inseguro de módulos integrados (Puppeteer e Playwright) dentro do ambiente de execução nodevm. Um invasor autenticado que possa criar ou executar uma ferramenta que utilize Puppeteer/Playwright pode especificar caminhos e parâmetros do binário do navegador controlados pelo invasor. Quando a ferramenta é executada, esses elementos controlados pelo invasor são executados no host, contornando as restrições da sandbox nodevm e permitindo a execução arbitrária de código no contexto do host. Os desenvolvedores identificaram inicialmente isso incorretamente como uma duplicata de outro problema. **Recomendações** Atualize para a versão 3.0.8 ou posterior do Flowise e certifique-se de que 'ALLOW BUILTIN DEP' esteja desabilitado. Para versões anteriores à 3.0.8, considere restringir o acesso a ferramentas que utilizam Puppeteer/Playwright.

Nome do Software Vulnerável e Versões Afetadas: DIAEnergie (versões afetadas não especificadas) Descrição: O software contém uma vulnerabilidade de cross-site scripting refletido. Recomendações: No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

Nome do Software Vulnerável e Versões Afetadas: DIAEnergie (versões afetadas não especificadas) Descrição: O software contém uma vulnerabilidade de Cross-Site Scripting armazenado. Recomendações: No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

Nome do Software Vulnerável e Versões Afetadas: DIAEnergie (versões afetadas não especificadas) Descrição: Este problema é uma vulnerabilidade de cross-site scripting refletido. Recomendações: No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

Nome do Software Vulnerável e Versões Afetadas: DIAEnergie (versões afetadas não especificadas) Descrição: O software contém uma falha de cross-site scripting refletido. Recomendações: No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Name of the Vulnerable Software and Affected Versions** BigAntSoft BigAnt Server versions up to and including 5.6.06 **Description** The issue concerns unauthenticated remote code execution via account registration. An unauthenticated remote attacker can create an administrative user through the default exposed SaaS registration mechanism. Once an administrator, the attacker can upload and execute arbitrary PHP code using the "Cloud Storage Addin," leading to unauthenticated code execution. **Recommendations** For BigAntSoft BigAnt Server versions up to and including 5.6.06, consider disabling the "Cloud Storage Addin" to prevent the execution of arbitrary PHP code until a patch is available. Restrict access to the account registration mechanism to minimize the risk of exploitation. Avoid using the default exposed SaaS registration mechanism until the issue is resolved. At the moment, there is no information about a newer version that contains a fix for this vulnerability.

**Nome do software vulnerável e versões afetadas: Sage X3 System (versões afetadas não especificadas) Descrição: A vulnerabilidade permite que um usuário autenticado com acesso de desenvolvedor injete comandos do sistema operacional por meio da variável `CHAINE` utilizada pela aplicação web. É importante ressaltar que essa configuração de desenvolvedor não deve ser implantada em ambiente de produção. Recomendações: No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas: Versões do Sage X3 anteriores à 9 com Syracuse 9.22.7.2 Versões do Sage X3 HR & Payroll anteriores à 9 com Syracuse 9.24.1.3 Versões do Sage X3 anteriores à 11 com Syracuse 11.25.2.6 Versões do Sage X3 anteriores à 12 com Syracuse 12.10.2.8 Descrição: Um pacote especialmente criado pode provocar uma resposta do componente AdxDSrv.exe que revela o diretório de instalação do produto. Esse problema pode ser combinado com outra vulnerabilidade para permitir a execução remota completa de código (RCE). Recomendações: Para versões do Sage X3 anteriores à 9 com Syracuse 9.22.7.2, atualize para o AdxAdmin 93.2.53 ou posterior. Para versões do Sage X3 HR & Payroll anteriores à 9 com Syracuse 9.24.1.3, atualize para o AdxAdmin 93.2.53 ou posterior. Para versões do Sage X3 anteriores à 11 com Syracuse 11.25.2.6, atualize para o AdxAdmin 93.2.53 ou posterior. Para versões do Sage X3 anteriores à 12 com Syracuse 12.10.2.8, atualize para o AdxAdmin 93.2.53 ou posterior.

**Nome do software vulnerável e versões afetadas** Versões do Akkadian Provisioning Manager Engine (PME) anteriores à 5.0.2 Versões do dispositivo Akkadian OVA anteriores à 3.0 Versões do Akkadian Appliance Manager anteriores à 3.3.0.314-4a349e0 **Descrição** O shell restrito fornecido pelo Akkadian Provisioning Manager Engine (PME) pode ser contornado através do uso indevido do comando ‘Edit MySQL Configuration’, que inicia uma interface padrão do editor vi, da qual é possível escapar. **Recomendações** Para versões do Akkadian Provisioning Manager Engine (PME) anteriores à 5.0.2, atualize para a versão 5.0.2 ou posterior. Para versões do dispositivo Akkadian OVA anteriores à 3.0, atualize para a versão 3.0 ou posterior. Para versões do Akkadian Appliance Manager anteriores à 3.3.0.314-4a349e0, atualize para a versão 3.3.0.314-4a349e0 ou posterior.

**Nome do software vulnerável e versões afetadas** Versões do Akkadian Provisioning Manager Engine anteriores à 5.0.2 Versões do dispositivo Akkadian OVA anteriores à 3.0 Versões do Akkadian Appliance Manager anteriores à 3.3.0.314-4a349e0 **Descrição** A vulnerabilidade permite que um invasor contorne o shell restrito fornecido pelo Akkadian Provisioning Manager Engine, alterando o canal do OpenSSH de `shell` para `exec` e fornecendo um único parâmetro de execução. Isso poderia permitir que um invasor remoto comprometesse a confidencialidade, integridade e disponibilidade das informações protegidas. **Recomendações** Para versões do Akkadian Provisioning Manager Engine anteriores à 5.0.2, atualize para a versão 5.0.2 ou posterior. Para versões do dispositivo Akkadian OVA anteriores à 3.0, atualize para a versão 3.0 ou posterior. Para versões do Akkadian Appliance Manager anteriores à 3.3.0.314-4a349e0, atualize para a versão 3.3.0.314-4a349e0 ou posterior.

**Nome do software vulnerável e versões afetadas** Versões do Akkadian Provisioning Manager Engine (PME) anteriores à 5.0.2 Versões do dispositivo Akkadian OVA anteriores à 3.0 Versões do Akkadian Appliance Manager anteriores à 3.3.0.314-4a349e0 **Descrição** O problema diz respeito a uma credencial codificada, com o nome de usuário `akkadianuser` e a senha `haakkadianpassword`. Isso representa um risco de segurança significativo, pois pode permitir acesso não autorizado. **Recomendações** Para versões do Akkadian Provisioning Manager Engine (PME) anteriores à 5.0.2, atualize para a versão 5.0.2 ou posterior. Para versões do Akkadian OVA appliance anteriores à 3.0, atualize para a versão 3.0 ou posterior. Para versões do Akkadian Appliance Manager anteriores à 3.3.0.314-4a349e0, atualize para a versão 3.3.0.314-4a349e0 ou posterior.

**Name of the Vulnerable Software and Affected Versions** Crestron Console service versions 1.3384.00049.001 and lower **Description** The issue concerns command injection that can be used to gain root-level access. This affects devices with default configuration, specifically DGE-100, DM-DGE-200-C, and TS-1542-C devices. **Recommendations** For versions 1.3384.00049.001 and lower, update the firmware to a version higher than 1.3384.00049.001 to resolve the issue.