Dr. Faruk Kazi

**Nome do Software Vulnerável e Versões Afetadas** ALBEDO Telecom Net.Time - Relógio PTP/NTP (Nº de Série NBC0081P) versão 1.4.4 **Descrição** O problema está relacionado a uma expiração de sessão insuficiente, o que poderia permitir que um atacante transmitisse senhas por meio de conexões não criptografadas, resultando na vulnerabilidade do produto à interceptação. Isso poderia permitir que atacantes interceptassem senhas. **Recomendações** Para a versão 1.4.4, considere atualizar para uma versão mais recente que corrija o problema de expiração de sessão insuficiente, embora a versão atualizada específica não seja fornecida. Como solução alternativa temporária, restrinja o acesso a conexões não criptografadas para minimizar o risco de interceptação de senhas.

**Nome do Software Vulnerável e Versões Afetadas** EWON Flexy 202 (versões afetadas não especificadas) **Descrição** O problema refere-se à transmissão de credenciais de usuário em texto claro sem criptografia quando um usuário é adicionado ou as credenciais de usuário são alteradas via página web do dispositivo. Isso afeta a segurança das credenciais de usuário. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

Nome do software vulnerável e versões afetadas: TP-Link Archer C50 (versões afetadas não especificadas) Descrição: O problema está relacionado a um mecanismo inadequado de verificação de assinatura no processo de atualização do firmware na interface web do TP-Link Archer C50. Isso permite que um invasor com privilégios administrativos dentro do alcance do Wi-Fi do roteador explore a vulnerabilidade ao fazer upload e executar firmware malicioso, o que pode levar ao comprometimento total do dispositivo visado. A exploração pode resultar na execução de código arbitrário e causar uma negação de serviço. Recomendações: No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Dispositivos de iluminação Philips (versões afetadas não especificadas) **Descrição** Este problema está relacionado ao armazenamento de credenciais de Wi-Fi em texto simples no firmware dos dispositivos de iluminação Philips. Um invasor com acesso físico poderia explorar essa vulnerabilidade extraindo o firmware e analisando os dados binários para obter as credenciais de Wi-Fi em texto simples armazenadas no dispositivo vulnerável. Uma exploração bem-sucedida poderia permitir que um invasor obtivesse acesso não autorizado à rede Wi-Fi à qual o dispositivo vulnerável está conectado. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** EWON FLEXY 202 (versões afetadas não especificadas) **Descrição** O problema diz respeito à transmissão de credenciais utilizando um método de codificação fraco, especificamente o base64. Um invasor presente na rede pode interceptar o tráfego e decodificar as credenciais. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Roteador Skyworth CM5100 versão 4.1.1.24 **Descrição** A vulnerabilidade existe devido à validação insuficiente das entradas fornecidas pelo usuário para o parâmetro `SMTP Password` na interface web. Um invasor remoto poderia explorar essa vulnerabilidade fornecendo entradas especialmente criadas para o parâmetro, o que poderia permitir a realização de ataques XSS armazenados no sistema visado. **Recomendações** Para o Roteador Skyworth CM5100 versão 4.1.1.24, considere desativar o acesso à interface web ou restringir as entradas no parâmetro `SMTP Password` até que uma correção esteja disponível. Evite usar o parâmetro `SMTP Password` na interface web afetada até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Roteador Skyworth CM5100 versão 4.1.1.24 **Descrição** Este problema se deve à validação insuficiente das entradas fornecidas pelo usuário para o parâmetro `Identity` nas configurações do endpoint local na interface web. Um invasor remoto poderia explorar essa vulnerabilidade fornecendo entradas especialmente criadas para o parâmetro na interface web do sistema visado. Uma exploração bem-sucedida poderia permitir que o invasor realizasse ataques XSS armazenados no sistema visado. **Recomendações** Para o Roteador Skyworth CM5100 versão 4.1.1.24, considere desativar o acesso às configurações do ponto de extremidade local na interface web até que uma correção esteja disponível. Restrinja o acesso ao parâmetro `Identity` para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Roteador Skyworth CM5100 versão 4.1.1.24 **Descrição** Esta vulnerabilidade existe devido à validação insuficiente das entradas fornecidas pelo usuário para o parâmetro `Pre-shared key` na interface web. Um invasor remoto poderia explorar essa vulnerabilidade fornecendo entradas especialmente criadas para o parâmetro, o que poderia permitir a realização de ataques XSS armazenados no sistema visado. **Recomendações** Para o Roteador Skyworth CM5100 versão 4.1.1.24, considere desativar o acesso à interface web até que uma correção esteja disponível para impedir a exploração. Restrinja o acesso ao parâmetro `Chave pré-compartilhada` para minimizar o risco de ataques XSS armazenados. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Roteador Skyworth CM5100 versão 4.1.1.24 **Descrição** A vulnerabilidade existe devido à validação insuficiente das entradas fornecidas pelo usuário para o parâmetro `L2TP/PPTP Username` na interface web. Um invasor remoto poderia explorar essa vulnerabilidade fornecendo entradas especialmente criadas para o parâmetro, o que poderia permitir a realização de ataques XSS armazenados no sistema visado. **Recomendações** Para o Roteador Skyworth CM5100 versão 4.1.1.24, considere desativar o parâmetro `L2TP/PPTP Username` na interface web até que uma correção esteja disponível. Restrinja o acesso à interface web para minimizar o risco de exploração. Evite usar o parâmetro `L2TP/PPTP Username` na interface web afetada até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Roteador Skyworth CM5100 versão 4.1.1.24 **Descrição** A vulnerabilidade existe devido à validação insuficiente das entradas fornecidas pelo usuário para o parâmetro `Preshared Phrase` na interface web. Um invasor remoto poderia explorar essa vulnerabilidade fornecendo entradas especialmente criadas para o parâmetro, o que poderia permitir ataques XSS armazenados no sistema visado. **Recomendações** Para o Roteador Skyworth CM5100 versão 4.1.1.24, considere desativar o acesso à interface web até que uma correção esteja disponível ou restrinja as entradas para o parâmetro `Preshared Phrase` para impedir a exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Roteador Skyworth CM5100 versão 4.1.1.24 **Descrição** Esta vulnerabilidade existe devido à validação insuficiente das entradas fornecidas pelo usuário para o parâmetro `Nome da rede (SSID)` na interface web. Um invasor remoto poderia explorar essa vulnerabilidade fornecendo entradas especialmente criadas para o parâmetro, permitindo-lhe realizar ataques XSS armazenados no sistema visado. **Recomendações** Para o Roteador Skyworth CM5100 versão 4.1.1.24, considere desativar a interface web ou restringir o acesso a ela até que uma correção esteja disponível. Evite usar o parâmetro `Nome da Rede (SSID)` na interface web afetada até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Roteador Skyworth CM5100 versão 4.1.1.24 **Descrição** Esta vulnerabilidade existe devido à validação insuficiente das entradas fornecidas pelo usuário para o parâmetro `Device Name` na interface web. Um invasor remoto poderia explorar essa vulnerabilidade fornecendo entradas especialmente criadas para o parâmetro, o que lhe permitiria realizar ataques XSS armazenados no sistema visado. **Recomendações** Para o Roteador Skyworth CM5100 versão 4.1.1.24, como solução temporária, considere restringir o acesso à interface web ou validar as entradas do usuário para o parâmetro `Device Name` a fim de minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Roteador Skyworth CM5100 versão 4.1.1.24 **Descrição** Este problema existe devido à transmissão de credenciais de autenticação em texto simples pela rede. Um invasor remoto poderia explorar essa vulnerabilidade interceptando o tráfego de rede da vítima para extrair o `nome de usuário` e a `senha` da interface web (página de login) do sistema visado. **Recomendações** Para o Roteador Skyworth CM5100 versão 4.1.1.24, considere desativar a funcionalidade de login pela rede até que uma correção esteja disponível para impedir a transmissão de credenciais em texto simples. Restrinja o acesso à interface web para minimizar o risco de exploração. Evite usar a página de login vulnerável até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Roteador Skyworth CM5100 versão 4.1.1.24 **Descrição** Este problema existe devido à transmissão de credenciais de autenticação em texto simples pela rede. Um invasor remoto poderia explorar essa vulnerabilidade interceptando o tráfego de rede da vítima para extrair o `nome de usuário` e a `senha` da interface web, especificamente da página de redefinição de senha, do sistema visado. **Recomendações** Para o Roteador Skyworth CM5100 versão 4.1.1.24, considere desativar a funcionalidade da Página de Redefinição de Senha até que um patch esteja disponível para impedir a exploração. Restrinja o acesso à interface web para minimizar o risco de interceptação e extração de credenciais.

**Nome do software vulnerável e versões afetadas** Roteador Skyworth CM5100 versão 4.1.1.24 **Descrição** Este problema se deve à validação insuficiente das entradas fornecidas pelo usuário para o parâmetro `Add Downstream Frequency` na interface web. Um invasor remoto poderia explorar essa vulnerabilidade fornecendo entradas especialmente criadas para o parâmetro, o que poderia permitir um ataque de Negação de Serviço (DoS) no sistema visado. **Recomendações** Para o Roteador Skyworth CM5100 versão 4.1.1.24, considere restringir o acesso à interface web ou limitar as entradas para o parâmetro `Add Downstream Frequency` a fim de minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Roteador Skyworth CM5100 versão 4.1.1.24 **Descrição** Este problema se deve à validação insuficiente das entradas fornecidas pelo usuário para o parâmetro `Set Upstream Channel ID (UCID)` na interface web. Um invasor remoto poderia explorar essa vulnerabilidade fornecendo entradas especialmente criadas para o parâmetro, o que poderia permitir que ele realizasse um ataque de Negação de Serviço (DoS) no sistema visado. **Recomendações** Para o Roteador Skyworth CM5100 versão 4.1.1.24, considere restringir o acesso à interface web para minimizar o risco de exploração. Como solução temporária, evite usar o parâmetro `Set Upstream Channel ID (UCID)` até que uma correção esteja disponível. No momento, não há informações sobre uma versão mais recente que contenha uma correção para este problema.

**Nome do software vulnerável e versões afetadas** Roteador Skyworth CM5100 versão 4.1.1.24 **Descrição** Este problema se deve à validação insuficiente das entradas fornecidas pelo usuário para o parâmetro `Traceroute` na interface web. Um invasor remoto poderia explorar essa vulnerabilidade fornecendo entradas especialmente criadas para o parâmetro, o que lhe permitiria realizar ataques XSS armazenados no sistema visado. **Recomendações** Para o Roteador Skyworth CM5100 versão 4.1.1.24, considere desativar o acesso ao parâmetro `Traceroute` na interface web até que uma correção esteja disponível para impedir a exploração. Restrinja o acesso à interface web para minimizar o risco de ataques XSS armazenados.

**Nome do software vulnerável e versões afetadas** Roteador Skyworth CM5100 versão 4.1.1.24 **Descrição** Esta vulnerabilidade existe devido à validação insuficiente dos dados fornecidos pelo usuário para o parâmetro `Time Server 1` na interface web. Um invasor remoto poderia explorar essa falha fornecendo dados especialmente criados para o parâmetro, o que lhe permitiria realizar ataques XSS armazenados no sistema visado. **Recomendações** Para o Roteador Skyworth CM5100 versão 4.1.1.24, considere desativar o acesso ao parâmetro `Time Server 1` na interface web até que uma correção esteja disponível. Restringir a validação das entradas do usuário para este parâmetro também pode ajudar a minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Roteador Skyworth CM5100 versão 4.1.1.24 **Descrição** A vulnerabilidade existe devido à validação insuficiente dos dados fornecidos pelo usuário para o parâmetro `Time Server 2` na interface web. Um invasor remoto poderia explorar essa vulnerabilidade fornecendo dados especialmente criados para o parâmetro, o que lhe permitiria realizar ataques XSS armazenados no sistema visado. **Recomendações** Para o Roteador Skyworth CM5100 versão 4.1.1.24, considere desativar o acesso ao parâmetro `Time Server 2` na interface web até que uma correção esteja disponível. Restringir a validação das entradas do usuário para este parâmetro também pode ajudar a minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Roteador Skyworth CM5100 versão 4.1.1.24 **Descrição** Esta vulnerabilidade existe devido à validação insuficiente dos dados fornecidos pelo usuário para o parâmetro `Time Server 3` na interface web. Um invasor remoto poderia explorar essa vulnerabilidade fornecendo dados especialmente criados para o parâmetro, o que lhe permitiria realizar ataques XSS armazenados no sistema visado. **Recomendações** Para o Roteador Skyworth CM5100 versão 4.1.1.24, considere desativar o acesso ao parâmetro `Time Server 3` na interface web até que uma correção esteja disponível para impedir a exploração. Além disso, restrinja o acesso à interface web para minimizar o risco de invasores remotos fornecerem entradas especialmente criadas. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.