Chris Lyne

**Nome do software vulnerável e versões afetadas: Versões do ManageEngine ServiceDesk Plus anteriores à 11205 Descrição: A vulnerabilidade permite que um invasor remoto autenticado execute comandos arbitrários com privilégios de SISTEMA devido a uma lista incompleta de entradas não permitidas. Recomendações: Para versões anteriores à 11205, atualize para a versão 11205 ou posterior para resolver o problema.

**Nome do software vulnerável e versões afetadas** Versões do Babel anteriores à 2.9.1 **Descrição** O problema está relacionado a erros na validação de entradas ao lidar com sequências de traversal de diretório em arquivos .dat de localização dentro do Babel.Locale. Isso pode permitir que um invasor carregue arquivos .dat de localização arbitrários, que contêm objetos Python serializados, por meio de traversal de diretório, levando à execução de código. **Recomendações** Para versões anteriores à 2.9.1, atualize para a versão 2.9.1 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso aos arquivos .dat de localização para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas: Versões do ManageEngine ServiceDesk Plus anteriores à 11200 Versões do ManageEngine AssetExplorer anteriores à 6800 Descrição: O problema está relacionado à sanitização insuficiente de saídas, o que permite que um invasor remoto e não autenticado realize ataques persistentes de cross-site scripting (XSS). Isso pode ser feito através do envio de um arquivo XML de ativos especialmente criado. Recomendações: Para versões do ManageEngine ServiceDesk Plus anteriores à 11200, atualize para a versão 11200 ou posterior. Para versões do ManageEngine AssetExplorer anteriores à 6800, atualize para a versão 6800 ou posterior.

**Nome do software vulnerável e versões afetadas** Nagios XI versão 5.7.3 **Descrição** O problema está relacionado à neutralização inadequada de delimitadores de argumentos em um comando, permitindo que um usuário administrador remoto e autenticado grave em arquivos arbitrários. Isso pode, em última instância, levar à execução de código com os privilégios do usuário apache. **Recomendações** Para o Nagios XI versão 5.7.3, no momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Versões do Plex Media Server anteriores a 15 de junho de 2020 **Descrição** O problema está relacionado a um controle de acesso inadequado, permitindo que qualquer origem execute solicitações de aplicativos entre origens. **Recomendações** Para versões anteriores a 15 de junho de 2020, atualize para uma versão lançada após 15 de junho de 2020 para resolver o problema.

**Nome do software vulnerável e versões afetadas** Druva inSync Windows Client versão 6.6.3 **Descrição** A vulnerabilidade permite que um invasor local não autenticado execute comandos arbitrários do sistema operacional com privilégios de SYSTEM devido a uma vulnerabilidade de traversal de caminho relativo. **Recomendações** Para o Druva inSync Windows Client versão 6.6.3, no momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Plex Media Server (versões afetadas não especificadas) **Descrição** O problema diz respeito à deserialização de dados não confiáveis no Plex Media Server, permitindo que um invasor remoto e autenticado execute código Python arbitrário. Isso pode ser explorado por um invasor para obter acesso não autorizado e executar código malicioso. A vulnerabilidade está relacionada à restauração de dados não confiáveis na memória, o que pode levar à execução de código arbitrário. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Versões 1.0 a 1.3 do firmware do SimpliSafe SS3 **Descrição** A vulnerabilidade permite que um invasor local não autenticado contorne a autenticação utilizando um caminho ou canal alternativo, possibilitando-lhe emparelhar um teclado não autorizado com um sistema armado. **Recomendações** Para as versões de firmware 1.0 a 1.3 do SimpliSafe SS3, considere restringir o acesso à funcionalidade de emparelhamento do teclado até que uma correção esteja disponível. Como solução temporária, monitore de perto a atividade do sistema para detectar quaisquer sinais de emparelhamento não autorizado do teclado. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Name of the Vulnerable Software and Affected Versions** Verizon Fios Quantum Gateway (G1100) version 02.01.00.05 **Description** The issue allows an unauthenticated attacker with adjacent network access to intercept and replay login requests, gaining access to the administrative web interface through an authentication bypass by capture-replay. **Recommendations** For version 02.01.00.05, as a temporary workaround, consider restricting access to the administrative web interface until a patch is available. At the moment, there is no information about a newer version that contains a fix for this vulnerability.

Name of the Vulnerable Software and Affected Versions: Advantech WebAccess versions 8.3.2 and earlier Description: A Path Traversal issue was discovered, allowing an attacker to access files within the directory structure of the target device. Recommendations: For Advantech WebAccess versions 8.3.2 and earlier, at the moment, there is no information about a newer version that contains a fix for this vulnerability.