Chunhao Yang

**Name of the Vulnerable Software and Affected Versions** AgentFlow (affected versions not specified) **Description** AgentFlow developed by Flowring has a Stored Cross-Site Scripting issue. Authenticated remote attackers can inject persistent JavaScript code that executes in users' browsers when a page loads. The issue allows for the injection of malicious scripts, potentially compromising user accounts or data. **Recommendations** At the moment, there is no information about a newer version that contains a fix for this vulnerability.

**Name of the Vulnerable Software and Affected Versions** Docpedia (affected versions not specified) **Description** Docpedia, developed by Flowring, exhibits a SQL Injection issue. This allows attackers who do not need to log in to inject and execute arbitrary SQL commands, potentially leading to unauthorized access to database contents. **Recommendations** At the moment, there is no information about a newer version that contains a fix for this vulnerability.

**Name of the Vulnerable Software and Affected Versions** Docpedia (affected versions not specified) **Description** Docpedia developed by Flowring has a SQL Injection issue. Authenticated remote attackers can inject arbitrary SQL commands, potentially allowing them to read, modify, and delete database contents. The vulnerability allows for unauthorized database manipulation. **Recommendations** At the moment, there is no information about a newer version that contains a fix for this vulnerability.

**Name of the Vulnerable Software and Affected Versions** AgentFlow (affected versions not specified) **Description** AgentFlow developed by Flowring has a Reflected Cross-site Scripting issue. This allows unauthenticated remote attackers to execute arbitrary JavaScript code in a user's browser through phishing attacks. **Recommendations** At the moment, there is no information about a newer version that contains a fix for this vulnerability.

Nome do software vulnerável e versões afetadas: Orca HCM da LEARNING DIGITAL (versões afetadas não especificadas) Descrição: O problema está relacionado a uma vulnerabilidade de falta de autenticação, permitindo que um invasor remoto não autenticado explore a funcionalidade e crie uma conta com privilégios de administrador, utilizando-a posteriormente para fazer login. Essa vulnerabilidade possibilita o acesso não autorizado, colocando em risco a criação de contas de administrador e o acesso por invasores remotos. Recomendações: No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

Nome do software vulnerável e versões afetadas: Orca HCM da LEARNING DIGITA, versões até 10.x Descrição: O problema está relacionado à funcionalidade de download de arquivos, na qual um parâmetro específico não está devidamente restrito. Isso permite que um invasor remoto com privilégios normais baixe arquivos arbitrários do sistema. O número estimado de dispositivos potencialmente afetados não foi divulgado. Não há informações sobre incidentes reais em que essa vulnerabilidade tenha sido explorada. A vulnerabilidade está relacionada a um problema de traversal de caminho no File Download Handler. Recomendações: Para o Orca HCM da LEARNING DIGITA, versões até 10.x: atualize o componente afetado imediatamente para mitigar o risco. Como solução temporária, considere restringir o acesso à funcionalidade de download de arquivos até que um patch esteja disponível. Evite usar o parâmetro vulnerável de download de arquivos para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Aplicativo ArmorX para Android (versões afetadas não especificadas) **Descrição** A autenticação multifatorial (MFA) do aplicativo ArmorX para Android para a função de login não está implementada corretamente. Invasores remotos que obtiverem as credenciais do usuário podem contornar a MFA, o que lhes permite fazer login com sucesso no aplicativo. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Câmera de rede (versões afetadas não especificadas) **Descrição** O problema diz respeito aos serviços de gerenciamento de perfis de usuários da câmera de rede, o que permite que um invasor remoto autenticado modifique parâmetros de URL e altere as informações de um usuário. Isso pode levar à escalada de privilégios, permitindo que o invasor assuma o controle dos dispositivos. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.