Calum Hutton

**Nome do Software Vulnerável e Versões Afetadas** Versões 12 a 15 do OnePlus OxygenOS **Descrição** Um problema de segurança significativo afeta dispositivos OnePlus executando o OxygenOS. Esta falha permite que qualquer aplicativo instalado leia dados e metadados de SMS/MMS do provedor de Telefonia do sistema sem exigir permissão, interação ou consentimento do usuário. O usuário não é notificado de que seus dados de SMS estão sendo acessados. Isso pode comprometer informações sensíveis e prejudicar a segurança da Autenticação de Múltiplos Fatores (MFA) baseada em SMS. A causa raiz é a falta de permissões de escrita em vários provedores de conteúdo (com.android.providers.telephony.PushMessageProvider, com.android.providers.telephony.PushShopProvider, com.android.providers.telephony.ServiceNumberProvider) e uma vulnerabilidade de injeção de SQL às cegas no método `update` desses provedores. A vulnerabilidade permite que um invasor extraia mensagens SMS através de consultas booleanas. O problema foi descoberto em maio de 2025 e divulgado publicamente em setembro de 2025. Embora a OnePlus tenha reconhecido o problema, uma correção não estava imediatamente disponível, com um lançamento planejado para meados de outubro de 2025. **Recomendações** Atualize seu dispositivo para a versão mais recente do OxygenOS assim que a correção estiver disponível, a partir de meados de outubro de 2025. Remova quaisquer aplicativos não confiáveis do seu dispositivo. Mude da Autenticação de Múltiplos Fatores (MFA) baseada em SMS para um aplicativo autenticador. Use aplicativos de mensagens criptografadas em vez de SMS para comunicações sensíveis. Considere mudar as notificações de SMS para notificações push.

**Nome do Software Vulnerável e Versões Afetadas** Versões do Apache Zeppelin 0.11.1 até 0.11.x **Descrição** A falta de validação de origem em WebSockets permite que um invasor acesse o servidor Zeppelin de outra origem sem restrição, potencialmente expondo informações internas sobre parágrafos. **Recomendações** Atualize para a versão 0.12.0.

**Nome do Software Vulnerável e Versões Afetadas** rsync (versões afetadas não especificadas) **Descrição** Um cliente especialmente elaborado, atuando como o receptor durante uma transferência de arquivo rsync, pode causar um erro de leitura devido ao acesso à memória fora dos limites pretendidos. Isso ocorre devido a um índice de array negativo. O cliente malicioso precisa de pelo menos acesso de leitura ao módulo rsync remoto para provocar este problema. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

Nome do Software Vulnerável e Versões Afetadas: com scheduler (versões afetadas não especificadas) Descrição: O problema está relacionado a cláusulas de ordenação construídas inadequadamente, o que leva a uma vulnerabilidade de Injeção de SQL na lista de tarefas de backend do com scheduler. Esta vulnerabilidade pode permitir que invasores injetem código SQL malicioso, potencialmente levando a acesso não autorizado ou manipulação de dados. Não há informações fornecidas sobre o número estimado de dispositivos potencialmente afetados em todo o mundo ou incidentes reais onde este problema foi explorado. Recomendações: No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** SteVe (versões afetadas não especificadas) **Descrição** O SteVe é uma plataforma aberta que implementa diferentes versões do protocolo OCPP para pontos de recarga de veículos elétricos, atuando como um servidor central para o gerenciamento dos pontos de recarga registrados. Os invasores podem injetar código HTML e Javascript arbitrário via WebSockets, levando a um Cross-Site Scripting persistente na interface de gerenciamento do SteVe. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** opencart/opencart, versões 0.0.0 a 3.0.3.9 **Descrição** Foi identificada uma vulnerabilidade de injeção de SQL na extensão de pagamento Divido para o OpenCart. Como usuário anônimo não autenticado, se o módulo de pagamento Divido estiver instalado, é possível explorar a injeção de SQL para obter acesso não autorizado ao banco de dados do backend. Isso poderia permitir que qualquer usuário não autenticado extraísse todo o banco de dados do OpenCart, incluindo dados de identificação pessoal (PII) dos clientes. **Recomendações** Para as versões 0.0.0 a 3.0.3.9, atualize a extensão de pagamento Divido para uma versão que inclua a correção para a vulnerabilidade de injeção de SQL. Como solução temporária, considere desativar o módulo de pagamento Divido até que um patch esteja disponível. Restrinja o acesso ao banco de dados backend para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** opencart/opencart versão 4.0.0.0 **Descrição** Foi identificada uma vulnerabilidade de XSS refletido no parâmetro `filename` da rota “admin tool/log”. Um invasor poderia obter o token de um usuário induzindo-o a clicar em uma URL criada com intenção maliciosa. O usuário é então solicitado a fazer login e redirecionado novamente após a autenticação, com a carga maliciosa sendo executada automaticamente. Se o usuário atacado tiver privilégios de administrador, essa vulnerabilidade poderia ser usada como o início de uma cadeia de explorações, como Zip Slip ou vulnerabilidades de gravação arbitrária de arquivos na funcionalidade de administração. Isso só pode ser explorado se o invasor souber o nome ou o caminho do diretório de administração, que é “admin” por padrão, mas há um aviso para renomeá-lo no painel de controle. **Recomendações** Como solução temporária, considere restringir o acesso à rota “admin tool/log” até que uma correção completa esteja disponível. Para a versão 4.0.0.0, o redirecionamento foi removido, mas ainda é possível explorar essa vulnerabilidade no admin se o usuário já estiver autenticado como administrador; portanto, evite usar o parâmetro `filename` na rota afetada até que o problema seja totalmente resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** opencart/opencart versão 4.0.0.0 **Descrição** Foi identificada uma vulnerabilidade que permite a criação arbitrária de arquivos por meio da funcionalidade de restauração do banco de dados. Ao injetar código PHP no banco de dados, um invasor com privilégios de administrador pode criar um arquivo de backup com um nome de arquivo arbitrário (incluindo a extensão) na pasta /system/storage/backup. É menos provável que o arquivo criado esteja disponível na raiz da web, já que parte das recomendações de segurança para o aplicativo sugere mover o caminho de armazenamento para fora da raiz da web. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** opencart/opencart versões 4.0.0.0 e posteriores **Descrição** Foi identificada uma vulnerabilidade do tipo “Zip Slip” no instalador do marketplace devido à sanitização inadequada do caminho de destino, permitindo que arquivos contidos em um arquivo compactado malicioso percorressem o sistema de arquivos e fossem extraídos para locais arbitrários. Um invasor pode criar arquivos arbitrários na raiz web do aplicativo e sobrescrever outros arquivos existentes explorando essa vulnerabilidade. **Recomendações** Para as versões 4.0.0.0 e posteriores, atualize o pacote opencart/opencart para uma versão que inclua a correção para a vulnerabilidade Zip Slip. Como solução temporária, considere desativar o instalador do marketplace até que um patch esteja disponível. Restrinja o acesso ao instalador do marketplace para minimizar o risco de exploração. Evite usar o instalador do marketplace para instalar pacotes de fontes não confiáveis até que a vulnerabilidade seja resolvida. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** opencart/opencart versão 4.0.0.0 **Descrição** Foi identificada uma vulnerabilidade de XSS refletido no parâmetro `redirect` da rota “conta do cliente/login”. Um invasor pode injetar HTML e Javascript arbitrários na resposta da página. Essa vulnerabilidade está presente na funcionalidade de conta e pode ser usada para visar e atacar clientes da loja OpenCart. **Recomendações** Como solução temporária, considere restringir o acesso ao parâmetro `redirect` vulnerável na rota de conta do cliente/login até que uma correção completa esteja disponível. Observação: A correção atual para esta vulnerabilidade está incompleta; portanto, é essencial monitorar as atualizações e aplicar uma correção completa assim que estiver disponível. No momento, não há informações sobre uma versão mais recente que contenha uma correção completa para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** opencart/opencart versões 4.0.0.0 a 4.1.0.0 **Descrição** Foi identificada uma vulnerabilidade de XSS refletido no parâmetro `directory` da rota admin/common/filemanager.list. Um invasor poderia obter o token de um usuário induzindo-o a clicar em uma URL criada com intenção maliciosa. O usuário é então solicitado a fazer login e redirecionado novamente após a autenticação, com a carga maliciosa sendo executada automaticamente. Se o usuário atacado tiver privilégios de administrador, essa vulnerabilidade poderia ser usada como o início de uma cadeia de explorações, como Zip Slip ou vulnerabilidades de gravação arbitrária de arquivos na funcionalidade de administração. Isso só pode ser explorado se o invasor souber o nome ou o caminho do diretório de administração, que é “admin” por padrão, mas há um aviso para renomeá-lo no painel de controle. **Recomendações** Para as versões 4.0.0.0 a 4.1.0.0, considere desativar a rota admin common/filemanager.list até que uma correção completa esteja disponível. Restrinja o acesso ao diretório admin para minimizar o risco de exploração. Evite usar o parâmetro `directory` na rota afetada até que o problema seja resolvido. Como solução alternativa temporária, remova o redirecionamento após o login de administrador para impedir que um invasor controle o redirecionamento. No entanto, observe que a correção para essa vulnerabilidade está incompleta, e ainda é possível explorar essa falha no admin se o usuário já estiver autenticado como administrador. No momento, não há informações sobre uma versão mais recente que contenha uma correção

**Name of the Vulnerable Software and Affected Versions** geokit-rails versions prior to 2.5.0 **Description** The issue is related to Command Injection due to unsafe deserialization of YAML within the `geo location` cookie. This can be exploited remotely via a malicious cookie value, allowing an attacker to execute commands on the host system. **Recommendations** For versions prior to 2.5.0, update to version 2.5.0 or later to resolve the issue. As a temporary workaround, consider restricting access to the `geo location` cookie to minimize the risk of exploitation.

**Name of the Vulnerable Software and Affected Versions** pydash versions prior to 6.0.0 **Description** The issue affects pydash methods such as `pydash.objects.invoke()` and `pydash.collections.invoke map()`, which accept dotted paths to target nested Python objects. These paths can be used to target internal class attributes and dict items, allowing retrieval, modification, or invocation of nested Python objects. The `pydash.objects.invoke()` method is vulnerable to Command Injection when the source object is not a built-in object and the attacker has control over the path string and the argument to pass to the invoked method. The `pydash.collections.invoke map()` method is also vulnerable but harder to exploit due to limited control over the argument passed to the invoked function. **Recommendations** For versions prior to 6.0.0, consider disabling the `pydash.objects.invoke()` and `pydash.collections.invoke map()` methods until a patch is available. Restrict access to these methods to minimize the risk of exploitation. Avoid using the `path` and `argument` variables in the affected methods until the issue is resolved. At the moment, there is no information about a newer version that contains a fix for this vulnerability.

**Nome do software vulnerável e versões afetadas** Versões do Celery anteriores à 5.2.2 **Descrição** A vulnerabilidade ocorre porque o pacote confia, por padrão, nas mensagens e nos metadados armazenados nos backends, o que pode levar a uma vulnerabilidade de injeção de comando armazenada quando um invasor obtém acesso ou manipula os metadados dentro de um backend do Celery. Isso poderia permitir que o invasor obtivesse acesso adicional ao sistema. **Recomendações** Para versões anteriores à 5.2.2, atualize para a versão 5.2.2 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso ao backend para minimizar o risco de exploração. Evite usar a desserialização de metadados de tarefas do backend até que o problema seja resolvido.

**Nome do software vulnerável e versões afetadas: Versões do Bluetooth anteriores à SMR julho de 2021, Release 1 Descrição: A falha permite o acesso não autorizado às informações de dispositivos emparelhados devido a uma vulnerabilidade de injeção de SQL. Recomendações: Para versões anteriores à SMR julho de 2021, Release 1, atualize para a SMR julho de 2021, Release 1 ou uma versão posterior para resolver o problema.

**Nome do software vulnerável e versões afetadas** Versões do Plone até a 5.2.4 **Descrição** A vulnerabilidade permite que administradores autenticados remotamente realizem operações de E/S de disco por meio de argumentos de palavra-chave maliciosos na transformação ReStructuredText em um script Python. **Recomendações** Para as versões do Plone até a 5.2.4, atualize para uma versão posterior à 5.2.4 para resolver o problema.

**Nome do software vulnerável e versões afetadas** Versões do Zope Products.CMFCore anteriores à 2.5.1 Versões do Zope Products.PluggableAuthService anteriores à 2.6.2 Versões do Plone anteriores à 5.2.4 **Descrição** A vulnerabilidade permite XSS refletido. Isso significa que um invasor pode injetar código malicioso em um site, que será então executado pelo navegador do usuário. O número estimado de dispositivos potencialmente afetados em todo o mundo não foi especificado. Não há informações sobre incidentes reais em que essa vulnerabilidade tenha sido explorada. **Recomendações** Para versões do Zope Products.CMFCore anteriores à 2.5.1, atualize para a versão 2.5.1 ou posterior. Para versões do Zope Products.PluggableAuthService anteriores à 2.6.2, atualize para a versão 2.6.2 ou posterior. Para versões do Plone anteriores à 5.2.4, atualize para a versão 5.2.4 ou posterior.

Name of the Vulnerable Software and Affected Versions: Mailman versions prior to 2.1.26 Description: The issue is related to a cross-site scripting (XSS) vulnerability in the web UI. This allows remote attackers to inject arbitrary web script or HTML via a user-options URL. The estimated number of potentially affected devices worldwide is not specified. There is no information provided about real-world incidents where this issue was exploited. Recommendations: For Mailman versions prior to 2.1.26, update to version 2.1.26 or later to resolve the issue. As a temporary workaround, consider restricting access to the web UI to minimize the risk of exploitation.

**Name of the Vulnerable Software and Affected Versions** Supervisor versions prior to 3.0.1 Supervisor versions 3.1.x prior to 3.1.4 Supervisor versions 3.2.x prior to 3.2.4 Supervisor versions 3.3.x prior to 3.3.3 **Description** The XML-RPC server in Supervisor allows remote authenticated users to execute arbitrary commands via a crafted XML-RPC request, related to nested supervisord namespace lookups. This issue is also related to inadequate access control in the XML-RPC component of the Supervisor web server. **Recommendations** For versions prior to 3.0.1, update to version 3.0.1 or later. For versions 3.1.x prior to 3.1.4, update to version 3.1.4 or later. For versions 3.2.x prior to 3.2.4, update to version 3.2.4 or later. For versions 3.3.x prior to 3.3.3, update to version 3.3.3 or later.

**Name of the Vulnerable Software and Affected Versions** WildFly version 10.0.0 Red Hat JBoss Enterprise Application Platform (EAP) versions prior to 7.0.2 **Description** A CRLF injection issue in the Undertow web server allows remote attackers to inject arbitrary HTTP headers and conduct HTTP response splitting attacks. **Recommendations** For WildFly version 10.0.0, update to a version that fixes the CRLF injection vulnerability. For Red Hat JBoss Enterprise Application Platform (EAP) versions prior to 7.0.2, update to version 7.0.2 or later to resolve the issue.