Eduard Agavriloae

**Nome do software vulnerável e versões afetadas** actiNAS-SL-2U-8 versão 3.2.03-SP1 **Descrição** O problema diz respeito a várias vulnerabilidades de cross-site scripting (XSS) refletido no arquivo nasSvr.php. Essas vulnerabilidades permitem que invasores remotos injetem scripts da web ou HTML arbitrários, o que pode levar a várias ações maliciosas. O número estimado de dispositivos potencialmente afetados em todo o mundo não foi especificado. Não há informações disponíveis sobre incidentes reais em que essa vulnerabilidade tenha sido explorada. **Recomendações** Para a versão 3.2.03-SP1, considere desativar o acesso ao arquivo nasSvr.php como uma solução temporária até que um patch esteja disponível. Também é recomendável restringir a entrada de dados para impedir a injeção de scripts web ou HTML arbitrários. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** actidata actiNAS SL 2U-8 RDX versão 3.2.03-SP1 **Descrição** O problema está relacionado a um controle de acesso inadequado no arquivo nasSvr.php, permitindo que invasores remotos leiam e modifiquem diferentes tipos de dados sem autenticação. **Recomendações** Para a versão 3.2.03-SP1, considere restringir o acesso ao arquivo nasSvr.php até que uma correção esteja disponível. Como solução alternativa temporária, evite usar o arquivo nasSvr.php para operações com dados confidenciais até que o problema seja resolvido. Restrinja o acesso ao arquivo nasSvr.php vulnerável para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** actidata actiNAS SL 2U-8 RDX versão 3.2.03-SP1 **Descrição** Uma falha de listagem de diretórios em todo o site no endpoint `/fm` permite que invasores remotos listem os arquivos hospedados pela aplicação web. Essa falha permite que invasores obtenham acesso não autorizado a informações confidenciais. **Recomendações** Para o actidata actiNAS SL 2U-8 RDX versão 3.2.03-SP1, considere restringir o acesso ao endpoint `/fm` até que uma correção esteja disponível. Como solução temporária, desativar a listagem de diretórios para o endpoint `/fm` pode ajudar a minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.