Davide Renna

**Name of the Vulnerable Software and Affected Versions** Microchip Time Provider 4100 versions prior to 2.5.0 **Description** A use of hard-coded credentials issue exists in Microchip Time Provider 4100, potentially allowing for malicious manual software updates. **Recommendations** Update Microchip Time Provider 4100 to version 2.5.0 or later.

**Nome do Software Vulnerável e Versões Afetadas** Microchip Time Provider 4100 versões anteriores à 2.5 **Descrição** Existe uma vulnerabilidade de neutralização inadequada de elementos especiais utilizados em um comando do SO no Microchip Time Provider 4100, permitindo a injeção de comandos do SO. Este problema está relacionado à execução remota de código por meio da senha de configuração de backup. **Recomendações** Atualize para uma versão superior à 2.5.

**Nome do Software Vulnerável e Versões Afetadas** Microchip Time Provider 4100 versões anteriores à 2.5 **Descrição** Existe uma vulnerabilidade de neutralização imprópria de elementos especiais usados em um comando do SO ('Injeção de Comando do SO') no Microchip Time Provider 4100. Isso permite a Injeção de Comando do SO. O problema está relacionado à restauração da senha de configuração. **Recomendações** Atualize o Microchip Time Provider 4100 para a versão 2.5 ou posterior.

**Nome do Software Vulnerável e Versões Afetadas** Microchip Time Provider 4100 versões anteriores à 2.5 **Descrição** Existe uma vulnerabilidade de neutralização imprópria de elementos especiais utilizados em um comando SQL ('SQL Injection') no Microchip Time Provider 4100. Isso permite a Injeção de SQL. A vulnerabilidade está presente no recurso web. O comando `SQL` não é devidamente sanitizado, potencialmente permitindo que um atacante injete código malicioso. **Recomendações** Atualize o Microchip Time Provider 4100 para a versão 2.5 ou superior.

**Nome do Software Vulnerável e Versões Afetadas** Microchip Time Provider 4100 versões anteriores à 2.5 **Descrição** Existe uma falha no Microchip Time Provider 4100 que permite atualizações manuais de software maliciosas devido à falta de verificação de integridade durante o download do código. **Recomendações** Atualize para a versão 2.5 ou posterior.

**Nome do software vulnerável e versões afetadas** Microchip TimeProvider 4100, versões 1.0 a 2.4.6 **Descrição** O problema está relacionado a uma vulnerabilidade de injeção de SQL devido à neutralização inadequada de elementos especiais utilizados em um comando SQL. Isso permite ataques de injeção de SQL. O número estimado de dispositivos potencialmente afetados em todo o mundo não foi especificado. Não há informações disponíveis sobre incidentes reais em que essa vulnerabilidade tenha sido explorada. **Recomendações** Para as versões 1.0 a 2.4.6, atualize para a versão 2.4.7 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso aos módulos de plotagem de dados até que um patch esteja disponível. Evite usar entradas fornecidas pelo usuário em comandos SQL para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Microchip TimeProvider 4100, versões 1.0 e posteriores **Descrição** O problema está relacionado a uma vulnerabilidade de redirecionamento de URL para um site não confiável (“Open Redirect”), que permite ataques XSS por meio de cabeçalhos HTTP. Isso pode levar a problemas de segurança, pois possibilita atividades maliciosas por meio de cabeçalhos HTTP. **Recomendações** Para o Microchip TimeProvider 4100 versões 1.0 e posteriores, considere desativar a funcionalidade de processamento de cabeçalhos HTTP até que uma correção esteja disponível. Restrinja o acesso ao sistema afetado para minimizar o risco de exploração. Evite usar o sistema vulnerável para operações confidenciais até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Microchip TimeProvider 4100, versões 1.0 a 2.4.7 **Descrição** A vulnerabilidade afeta os módulos de configuração do Microchip TimeProvider 4100, permitindo a injeção de comandos devido à neutralização inadequada de elementos especiais utilizados em um comando do sistema operacional. Isso expõe informações confidenciais a agentes não autorizados. **Recomendações** Atualize para a versão 2.4.7 ou posterior para corrigir a vulnerabilidade. Como solução temporária, considere restringir o acesso aos módulos de configuração para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Microchip TimeProvider 4100, versões 1.0 e posteriores **Descrição** O problema é uma vulnerabilidade do tipo Cross-Site Request Forgery (CSRF) que também permite Cross-Site Scripting (XSS). Essa vulnerabilidade afeta o Microchip TimeProvider 4100, permitindo que ações não autorizadas sejam realizadas no dispositivo. **Recomendações** Para o Microchip TimeProvider 4100 versão 1.0 e posteriores, atualize para uma versão que inclua uma correção para este problema. Como solução temporária, considere implementar medidas de segurança adicionais para prevenir ataques CSRF, tais como validar as origens das solicitações e usar tokens anti-CSRF. Restrinja o acesso a funcionalidades confidenciais para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Microchip TimeProvider 4100, versões 1.0 a 2.4.7 **Descrição** O problema está relacionado à autenticação inadequada nos módulos de login do Microchip TimeProvider 4100, o que permite o sequestro de sessão. **Recomendações** Para as versões 1.0 a 2.4.7, atualize para a versão 2.4.7 ou posterior para resolver o problema. Como solução alternativa temporária, considere restringir o acesso aos módulos de login para minimizar o risco de sequestro de sessão.

**Nome do software vulnerável e versões afetadas** Microchip TimeProvider 4100, versões 1.0 a 2.4.7 **Descrição** O problema está relacionado à neutralização inadequada de entradas durante a geração de páginas da Web, também conhecida como Cross-site Scripting (XSS). Isso permite ataques de XSS refletido. A vulnerabilidade está presente nos módulos de plotagem de dados do software afetado. **Recomendações** Para as versões 1.0 a 2.4.7, atualize para a versão 2.4.7 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso aos módulos de plotagem de dados até que um patch seja aplicado. Evite usar os módulos de plotagem de dados vulneráveis nos pontos de extremidade da API afetados até que o problema seja resolvido.

**Nome do software vulnerável e versões afetadas** Microchip TimeProvider 4100, versões 1.0 a 2.4.6 **Descrição** O problema está relacionado à neutralização inadequada de entradas durante a geração de páginas da Web, também conhecida como Cross-Site Scripting (XSS). Este problema de segurança afeta os módulos de configuração de banner do Microchip TimeProvider 4100, permitindo Cross-Site Scripting (XSS). **Recomendações** Para as versões 1.0 a 2.4.6, atualize para a versão 2.4.7 ou posterior para resolver o problema.