Cl0Wnk1N9

Nome do software vulnerável e versões afetadas: TOTOLINK A720R versão 4.1.5 Descrição: Foi identificada uma vulnerabilidade crítica que afeta a função `exportOvpn`, levando à injeção de comandos do sistema operacional. O ataque pode ser lançado remotamente, apresentando complexidade bastante elevada e dificuldade de exploração. O fornecedor foi contatado sobre esta divulgação, mas não respondeu. Há relatos de atividades maliciosas visando essa vulnerabilidade. Recomendações: Para o TOTOLINK A720R versão 4.1.5, como solução temporária, considere desativar a função `exportOvpn` até que uma correção esteja disponível. Restrinja o acesso à função vulnerável para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Metabase (versões afetadas não especificadas) **Descrição** O problema diz respeito ao Metabase, um aplicativo de inteligência de negócios e análise de código aberto, afetando especificamente usuários que utilizam o SQLite. O SQLite possui um recurso chamado `ATTACH DATABASE`, que permite conectar vários bancos de dados SQLite por meio da conexão inicial. Se um invasor tiver permissões SQL para pelo menos um banco de dados SQLite, ele poderá anexar esse banco de dados a um segundo banco de dados e consultar todas as tabelas, desde que também conheça o caminho do arquivo do segundo banco de dados. **Recomendações** Para resolver o problema, recomenda-se que os usuários atualizem o software o mais rápido possível. Se não for possível atualizar, você pode modificar suas strings de conexão do SQLite para incluir o argumento de URL `?limit attached=0`, o que impedirá a conexão com outros bancos de dados SQLite.