David Atch

**Nome do software vulnerável e versões afetadas** Versões do MediaTek LinkIt SDK anteriores à 4.6.1 **Descrição** O problema está relacionado a uma possível corrupção de memória devido a um estouro de inteiro durante a alocação incorreta de memória pelas funções `pvPortCalloc` e `pvPortRealloc`. Isso pode levar a riscos potenciais de segurança. **Recomendações** Para versões anteriores à 4.6.1, atualize para a versão 4.6.1 ou posterior para resolver o problema. Como solução temporária, considere restringir o uso das funções `pvPortCalloc` e `pvPortRealloc` até que um patch esteja disponível.

**Nome do software vulnerável e versões afetadas** Versões do Texas Instruments SimpleLink Wi-Fi anteriores ao MSP432E4 SDK: v4.20.00.12 Versões do Texas Instruments SimpleLink Wi-Fi anteriores ao CC32XX SDK v4.30.00.06 Versões do Texas Instruments SimpleLink Wi-Fi anteriores ao CC13X0 SDK v4.10.03 Versões do Texas Instruments SimpleLink Wi-Fi anteriores ao SDK CC13X2 e CC26XX v4.40.00 Versões do Texas Instruments SimpleLink Wi-Fi anteriores ao SDK CC3200 v1.5.0 Versões do Texas Instruments SimpleLink Wi-Fi anteriores ao SDK CC3100 v1.3.0 **Descrição** O problema está relacionado a um estouro de buffer baseado em pilha que ocorre durante o processamento de atualizações de firmware over-the-air a partir do servidor CDN. Isso pode permitir que um invasor execute código remotamente. **Recomendações** Para versões anteriores ao MSP432E4 SDK: v4.20.00.12, atualize para uma versão posterior à v4.20.00.12. Para versões anteriores ao CC32XX SDK v4.30.00.06, atualize para uma versão posterior à v4.30.00.06. Para versões anteriores ao CC13X0 SDK v4.10.03, atualize para uma versão posterior à v4.10.03. Para versões anteriores ao CC13X2 e CC26XX SDK v4.40.00, atualize para uma versão posterior à v4.40.00. Para versões anteriores ao CC3200 SDK v1.5.0, atualize para uma versão mais recente que a v1.5.0. Para versões anteriores ao CC3100 SDK v1.3.0, atualize para uma versão mais recente que a v1.3.0.

**Nome do software vulnerável e versões afetadas** Versões do Texas Instruments SimpleLink Wi-Fi anteriores ao MSP432E4 SDK: v4.20.00.12 Versões do Texas Instruments SimpleLink Wi-Fi CC32XX SDK anteriores à v4.30.00.06 Versões do Texas Instruments SimpleLink Wi-Fi CC13X0 SDK anteriores à v4.10.03 Versões do SDK Texas Instruments SimpleLink Wi-Fi CC13X2 e CC26XX anteriores à v4.40.00 Versões do SDK Texas Instruments SimpleLink Wi-Fi CC3200 anteriores à v1.5.0 Versões do SDK Texas Instruments SimpleLink Wi-Fi CC3100 anteriores à v1.3.0 **Descrição** O problema decorre de um estouro de inteiro ao analisar arquivos de atualização de firmware over-the-air malformados, o que pode permitir a execução remota de código. **Recomendações** Para versões do SDK MSP432E4 anteriores à v4.20.00.12, atualize para uma versão posterior à v4.20.00.12 para resolver o problema. Para versões do SDK CC32XX anteriores à v4.30.00.06, atualize para uma versão posterior à v4.30.00.06 para resolver o problema. Para versões do SDK CC13X0 anteriores à v4.10.03, atualize para uma versão posterior à v4.10.03 para resolver o problema. Para versões do SDK CC13X2 e CC26XX anteriores à v4.40.00, atualize para uma versão posterior à v4.40.00 para resolver o problema. Para versões do SDK CC3200 anteriores à v1.5.0, atualize para uma versão posterior à v1.5.0 para resolver o problema. Para versões do SDK CC3100 anteriores à v1.3.0, atualize para uma versão posterior à v1.3.0 para resolver o problema.

**Nome do software vulnerável e versões afetadas** Versões do SimpleLink Wi-Fi anteriores ao SDK MSP432E4: v4.20.00.12 Versões do SimpleLink Wi-Fi anteriores ao SDK CC32XX: v4.30.00.06 Versões do SimpleLink Wi-Fi anteriores ao SDK CC13X0: v4.10.03 Versões do SimpleLink Wi-Fi anteriores aos SDKs CC13X2 e CC26XX: v4.40.00 Versões do SimpleLink Wi-Fi anteriores ao SDK CC3200: v1.5.0 Versões do SimpleLink Wi-Fi anteriores ao SDK CC3100: v1.3.0 **Descrição** Existe um estouro de inteiro nas APIs da MCU host ao tentar conectar-se a uma rede Wi-Fi, o que pode levar a problemas como uma condição de negação de serviço ou execução de código. **Recomendações** Para versões anteriores ao MSP432E4 SDK: v4.20.00.12, atualize para uma versão posterior à v4.20.00.12. Para versões anteriores ao CC32XX SDK: v4.30.00.06, atualize para uma versão posterior à v4.30.00.06. Para versões anteriores ao SDK CC13X0: v4.10.03, atualize para uma versão mais recente que a v4.10.03. Para versões anteriores ao SDK CC13X2 e CC26XX: v4.40.00, atualize para uma versão mais recente que a v4.40.00. Para versões anteriores ao SDK CC3200: v1.5.0, atualize para uma versão mais recente que a v1.5.0. Para versões anteriores ao SDK CC3100: v1.3.0, atualize para uma versão mais recente que a v1.3.0.

**Nome do software vulnerável e versões afetadas** SimpleLink Wi-Fi (MSP432E4 SDK) versões v4.20.00.12 e anteriores SimpleLink Wi-Fi (CC32XX SDK) versões v4.30.00.06 e anteriores SimpleLink Wi-Fi (CC13X0 SDK) versões anteriores à v4.10.03 SimpleLink Wi-Fi (CC13X2 e CC26XX SDK) versões anteriores à v4.40.00 SimpleLink Wi-Fi (CC3200 SDK) versões v1.5.0 e anteriores SimpleLink Wi-Fi (CC3100 SDK) versões v1.3.0 e anteriores **Descrição** O problema está relacionado a um estouro de inteiro que ocorre durante o processamento de cabeçalhos HTTP. Isso pode permitir que um invasor execute código remotamente. **Recomendações** Para versões do MSP432E4 SDK v4.20.00.12 e anteriores, atualize para uma versão posterior à v4.20.00.12. Para as versões v4.30.00.06 e anteriores do CC32XX SDK, atualize para uma versão posterior à v4.30.00.06. Para as versões anteriores à v4.10.03 do CC13X0 SDK, atualize para a versão v4.10.03 ou posterior. Para versões do SDK CC13X2 e CC26XX anteriores à v4.40.00, atualize para a versão v4.40.00 ou posterior. Para versões do SDK CC3200 v1.5.0 e anteriores, atualize para uma versão posterior à v1.5.0. Para versões do SDK CC3100 v1.3.0 e anteriores, atualize para uma versão posterior à v1.3.0.

**Nome do software vulnerável e versões afetadas** SimpleLink Wi-Fi (MSP432E4 SDK) versões v4.20.00.12 e anteriores SimpleLink Wi-Fi (CC32XX SDK) versões v4.30.00.06 e anteriores SimpleLink Wi-Fi (CC13X0 SDK) versões anteriores à v4.10.03 SimpleLink Wi-Fi (CC13X2 e CC26XX SDK) versões anteriores à v4.40.00 SimpleLink Wi-Fi (CC3200 SDK) versões v1.5.0 e anteriores SimpleLink Wi-Fi (CC3100 SDK) versões v1.3.0 e anteriores **Descrição** O problema decorre de múltiplas falhas de estouro de inteiros ao lidar com nomes de domínio longos, o que pode permitir a execução remota de código. **Recomendações** Para versões do MSP432E4 SDK v4.20.00.12 e anteriores, atualize para uma versão posterior à v4.20.00.12. Para as versões v4.30.00.06 e anteriores do CC32XX SDK, atualize para uma versão posterior à v4.30.00.06. Para as versões anteriores à v4.10.03 do CC13X0 SDK, atualize para a versão v4.10.03 ou posterior. Para versões do SDK CC13X2 e CC26XX anteriores à v4.40.00, atualize para a versão v4.40.00 ou posterior. Para versões do SDK CC3200 v1.5.0 e anteriores, atualize para uma versão posterior à v1.5.0. Para versões do SDK CC3100 v1.3.0 e anteriores, atualize para uma versão posterior à v1.3.0.

**Name of the Vulnerable Software and Affected Versions** CODESYS Web Server versions 2.3 and prior **Description** An Arbitrary File Upload issue was discovered, allowing a specially crafted web server request to upload arbitrary files to the CODESYS Web Server without authorization, potentially enabling remote code execution. **Recommendations** For CODESYS Web Server versions 2.3 and prior, update to a version later than 2.3 to resolve the issue. As a temporary workaround, consider restricting access to the web server to minimize the risk of exploitation.

**Name of the Vulnerable Software and Affected Versions** Rockwell Automation Allen-Bradley MicroLogix 1100 devices versions A through 15.000 and B before 15.002 **Description** The issue is a stack-based buffer overflow that allows remote attackers to execute arbitrary code via a crafted web request. **Recommendations** For versions A through 15.000, update to version 15.000 or later. For version B, update to version 15.002 or later. As a temporary workaround, consider restricting access to the web interface until a patch is available.

**Name of the Vulnerable Software and Affected Versions** Schneider Electric Modicon M340 PLC BMXNOx and BMXPx devices (affected versions not specified) **Description** The issue is caused by a stack-based buffer overflow in the GoAhead Web Server, allowing remote attackers to execute arbitrary code via a long password in HTTP Basic Authentication data. This can be exploited by sending a long password, which can lead to the execution of arbitrary code. **Recommendations** For Schneider Electric Modicon M340 PLC BMXNOx and BMXPx devices, consider restricting access to the HTTP Basic Authentication feature until a fix is available. As a temporary workaround, consider limiting the length of passwords to prevent exploitation of the buffer overflow. At the moment, there is no information about a newer version that contains a fix for this vulnerability.