Enesdex

**Name of the Vulnerable Software and Affected Versions** Gila CMS versions prior to 2.0.0 **Description** Gila CMS is affected by a remote code execution issue that allows unauthenticated attackers to execute arbitrary system commands. This is achieved by manipulating HTTP headers, specifically injecting PHP code into the User-Agent header. The `shell exec()` function is used to run system commands by sending crafted requests to the admin endpoint. The API endpoint ''/admin'' is vulnerable. The vulnerable parameter is the `User-Agent` header. **Recommendations** Update Gila CMS to version 2.0.0 or later.

**Nome do software vulnerável e versões afetadas** Kernel do Linux (versões afetadas não especificadas) **Descrição** Foi detectada uma condição de corrida na fila de observação do kernel do Linux devido à ausência de um bloqueio na função `pipe resize ring()`. A falha específica está relacionada ao tratamento dos buffers de pipe. O problema resulta da falta de bloqueio adequado ao realizar operações em um objeto. Essa falha permite que um usuário local cause uma falha no sistema ou eleve seus privilégios no sistema. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Versões do WebAccess/NMS anteriores à 3.0.3 Build6299 **Descrição** A falha permite que usuários não autorizados visualizem recursos monitorados e controlados pelo WebAccess/NMS, bem como endereços IP e nomes de todos os dispositivos gerenciados pelo WebAccess/NMS, devido a uma vulnerabilidade relacionada à autenticação inadequada. **Recomendações** Para versões anteriores à 3.0.3 Build6299, atualize para a versão 3.0.3 Build6299 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso ao painel do WebAccess/NMS para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Versões do Advantech iView anteriores à v5.7.03.6182 **Descrição** O problema está relacionado à falta de autenticação na configuração do produto afetado, o que pode permitir que um invasor modifique configurações e execute código arbitrário. **Recomendações** Para versões anteriores à v5.7.03.6182, atualize para a versão v5.7.03.6182 ou posterior para resolver o problema.

**Nome do software vulnerável e versões afetadas** Versões do Advantech iView anteriores à v5.7.03.6182 **Descrição** A vulnerabilidade permite que um invasor não autorizado divulgue informações devido a uma vulnerabilidade de injeção de SQL. Ela afeta várias funções, incluindo `findUpdateDeviceListDetails`, `saveZtpConfig`, `deleteZtpConfig`, `getInventoryReportData`, `getAllActiveTraps`, `setDeviceAuthentication`, `getNextTrapPage` e `getPSInventoryInfo` no `NetworkServlet`. **Recomendações** Para versões anteriores à v5.7.03.6182, atualize para a versão v5.7.03.6182 ou posterior para resolver o problema. Como solução alternativa temporária, considere restringir o acesso às funções vulneráveis até que um patch esteja disponível. Evite usar os endpoints vulneráveis do `NetworkServlet`, como `/NetworkServlet`, até que o problema seja resolvido. Restrinja o acesso ao banco de dados SQL para minimizar o risco de exploração.