Darren Kemp

**Nome do software vulnerável e versões afetadas** Versões do ASUS GT-AC2900 anteriores à 3.0.0.4.386.42643 Versões do Lyra Mini anteriores à 3.0.0.4 384 46630 **Descrição** O aplicativo de administração nos dispositivos ASUS GT-AC2900 e Lyra Mini permite a omissão da autenticação ao processar entradas remotas de um usuário não autenticado, levando ao acesso não autorizado à interface de administração. Esta vulnerabilidade está relacionada à função `handle request` em `router/httpd/httpd.c` e à função `auth check` em `web hook.o`. Um valor fornecido pelo invasor, `0`, corresponde ao valor padrão do dispositivo, `0`, em algumas situações. Houve tentativas de explorar essa vulnerabilidade, com 379.868 tentativas relatadas como falhadas devido a um pequeno erro. **Recomendações** Para versões do ASUS GT-AC2900 anteriores à 3.0.0.4.386.42643, atualize para a versão 3.0.0.4.386.42643 ou posterior. Para versões do Lyra Mini anteriores à 3.0.0.4 384 46630, atualize para a versão 3.0.0.4 384 46630 ou posterior. Como solução temporária, considere desativar os recursos de acesso remoto da WAN para minimizar o risco de exploração.

**Name of the Vulnerable Software and Affected Versions** Lenovo Accelerator Application (affected versions not specified) **Description** The issue allows man-in-the-middle attackers to execute arbitrary code by spoofing an update response from the `susapi.lenovomm.com` API endpoint. This is due to a flaw in the UpdateAgent component. **Recommendations** At the moment, there is no information about a newer version that contains a fix for this vulnerability.