Emreovunc

**Name of the Vulnerable Software and Affected Versions** Nagios XI version 5.7.1 **Description** The issue allows remote attackers to run arbitrary code via the `returnUrl` parameter in a crafted GET request. This is a Cross Site Scripting (XSS) issue. **Recommendations** For Nagios XI version 5.7.1, avoid using the `returnUrl` parameter in GET requests until a fix is available. As a temporary workaround, consider restricting access to the affected endpoint to minimize the risk of exploitation.

**Nome do software vulnerável e versões afetadas: Medintux versão 2.16.000 Descrição: O problema está relacionado a um XSS refletido no Medintux, em que um invasor pode manipular o parâmetro `mot1` no arquivo CCAM.php para realizar ações maliciosas contra usuários que abrirem um link ou uma página da Web de terceiros criados com intenção maliciosa. Recomendações: Para o Medintux versão 2.16.000, considere restringir o acesso à página CCAM.php ou desativar a manipulação do parâmetro `mot1` até que um patch esteja disponível. Como solução temporária, evite usar o parâmetro `mot1` na página afetada para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas: FHEM versão 6.0 Descrição: A vulnerabilidade permite que um invasor inclua um arquivo usando o parâmetro `file` em `fhem/FileLog logWrapper`, o que pode levar à divulgação de informações confidenciais. Recomendações: Para a versão 6.0 do FHEM, considere restringir o acesso ao parâmetro `file` em `fhem/FileLog logWrapper` para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas: Vtiger CRM versão 7.2.0 Descrição: O problema está relacionado a um ataque XSS refletido no Vtiger CRM, no qual um invasor pode realizar ações maliciosas contra usuários que abrirem um link malicioso ou uma página da Web de terceiros por meio do parâmetro `view` em `vtigercrm/index.php`. Recomendações: Para o Vtiger CRM versão 7.2.0, considere desativar o acesso ao endpoint `vtigercrm/index.php` até que uma correção esteja disponível, ou restrinja o uso do parâmetro `view` para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas: Vtiger CRM versão 7.2.0 Descrição: A vulnerabilidade permite que um invasor exiba arquivos ocultos e liste diretórios utilizando os diretórios `/libraries` e `/layout`. Recomendações: Para o Vtiger CRM versão 7.2.0, considere restringir o acesso aos diretórios `/libraries` e `/layout` como uma solução temporária até que um patch esteja disponível.

**Nome do software vulnerável e versões afetadas: Nagios Log Server versão 2.1.7 Descrição: O problema é uma vulnerabilidade de script entre sites (XSS). Ela está localizada no endpoint da API `/nagioslogserver/configure/create snapshot`, por meio do parâmetro `snapshot name`. Isso pode afetar usuários que abrirem um link criado com intenção maliciosa ou uma página da Web de terceiros. Recomendações: Para o Nagios Log Server versão 2.1.7, considere desativar o acesso ao endpoint da API `/nagioslogserver/configure/create snapshot` até que uma correção esteja disponível. Além disso, restrinja o uso do parâmetro `snapshot name` para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Name of the Vulnerable Software and Affected Versions** Web Port version 1.19.1 **Description** The issue allows for XSS via the /access/setup `type` parameter. **Recommendations** For version 1.19.1, avoid using the `type` parameter in the /access/setup API endpoint until the issue is resolved.

**Name of the Vulnerable Software and Affected Versions** Web Port version 1.19.1 **Description** The issue allows for XSS via the /log `type` parameter. **Recommendations** For version 1.19.1, avoid using the `type` parameter in the /log API endpoint until the issue is resolved.

**Name of the Vulnerable Software and Affected Versions** Eaton Intelligent Power Manager version 1.6 **Description** The issue allows an attacker to perform a local file inclusion via directory traversal in the server/node upgrade srv.js. This is achieved by manipulating the `firmware` parameter in a `downloadFirmware` action. **Recommendations** For Eaton Intelligent Power Manager version 1.6, consider restricting access to the `downloadFirmware` action and the `firmware` parameter to minimize the risk of exploitation. As a temporary workaround, avoid using the `firmware` parameter in the affected API endpoint until the issue is resolved.

**Name of the Vulnerable Software and Affected Versions** mySCADA myPRO version 7 **Description** The issue allows remote attackers to access the FTP server on port 2121, upload files, or list directories by using a hardcoded FTP username and password. The hardcoded credentials are `username` set to 'myscada' and `password` set to 'Vikuk63' in the 'myscadagate.exe' file. **Recommendations** For mySCADA myPRO version 7, consider changing the hardcoded FTP credentials to secure ones, and restrict access to the FTP server on port 2121 until a patch is available. As a temporary workaround, restrict the use of the 'myscadagate.exe' file to minimize the risk of exploitation.