Dan Dahlberg

**Nome do software vulnerável e versões afetadas** Rastreador GPS MiCODUS MV720 (versões afetadas não especificadas) **Descrição** O servidor API do rastreador GPS MiCODUS MV720 possui um mecanismo de autenticação que permite que os dispositivos utilizem uma senha mestra codificada. Isso pode permitir que um invasor envie comandos SMS diretamente para o rastreador GPS, como se eles fossem provenientes do número de celular do proprietário do GPS. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Rastreador GPS MiCODUS MV720 (versões afetadas não especificadas) **Descrição** A vulnerabilidade permite que comandos GPS baseados em SMS sejam executados pelo rastreador GPS MiCODUS MV720 sem a necessidade de autenticação. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Rastreador GPS MiCODUS MV720 (versões afetadas não especificadas) **Descrição** O servidor web principal do rastreador GPS MiCODUS MV720 apresenta uma vulnerabilidade de cross-site scripting refletido. Isso poderia permitir que um invasor assumisse o controle ao induzir um usuário a fazer uma solicitação. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Rastreador GPS MiCODUS MV720 (versões afetadas não especificadas) **Descrição** O servidor web principal do rastreador GPS MiCODUS MV720 apresenta uma vulnerabilidade relacionada a referências diretas a objetos não seguras autenticadas. Essa vulnerabilidade está relacionada a um endpoint e ao parâmetro POST `Device ID`, que aceita IDs de dispositivo arbitrárias. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Rastreador GPS MiCODUS MV720 (versões afetadas não especificadas) **Descrição** O servidor web principal do rastreador GPS MiCODUS MV720 apresenta uma vulnerabilidade de referência direta a objetos não segura em contexto autenticado. Essa vulnerabilidade está relacionada ao endpoint e ao parâmetro `device IDs`, que aceitam `device IDs` arbitrários sem verificação adicional. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Name of the Vulnerable Software and Affected Versions** Android devices with code from Ragentek (affected versions not specified) BLU Studio G BLU Studio G Plus BLU Studio 6.0 HD BLU Studio X BLU Studio X Plus BLU Studio C HD Infinix Hot X507 Infinix Hot 2 X510 Infinix Zero X506 Infinix Zero 2 X509 DOOGEE Voyager 2 DG310 LEAGOO Lead 5 LEAGOO Lead 6 LEAGOO Lead 3i LEAGOO Lead 2S LEAGOO Alfa 6 IKU Colorful K45i Beeline Pro 2 XOLO Cube 5.0 **Description** A privileged binary in Android devices with code from Ragentek performs over-the-air update checks and hides its execution, resembling a rootkit. The binary, located at /system/bin/debugs, runs with root privileges and communicates over an unencrypted channel with three hosts via HTTP. Server responses can execute arbitrary commands as root, install applications, or update configurations. For example, the binary sends requests like "POST /pagt/agent?data={`name`:`c regist`,`details`: {...}}" to the server, and the server responds with commands, such as "touch /tmp/test". **Recommendations** For each of the affected devices, consider disabling the /system/bin/debugs binary as a temporary workaround to prevent potential exploitation. Restrict access to the debugs binary to minimize the risk of exploitation. Avoid using the binary until a patch or fix is available from the device manufacturer. At the moment, there is no information about a newer version that contains a fix for this vulnerability.