Eric Daigle

Nome do Software Vulnerável e Versões Afetadas: Versões do Hirsch Enterphone MESH até 2024 Descrição: O painel de configuração Web GUI do Hirsch Enterphone MESH é entregue com credenciais padrão, `username` freedom e `password` viscount. O administrador não é solicitado a alterar essas credenciais na configuração inicial, e alterá-las requer muitas etapas. Atacantes podem usar as credenciais pela Internet via "mesh.webadmin.MESHAdminServlet" para obter acesso a dezenas de prédios de apartamentos no Canadá e nos Estados Unidos e obter informações pessoalmente identificáveis (PII) dos residentes dos prédios. Recomendações: Para as versões do Hirsch Enterphone MESH até 2024, altere as credenciais padrão o mais rápido possível, seguindo as recomendações do fabricante para proteger o sistema. Como solução temporária, considere restringir o acesso ao endpoint "mesh.webadmin.MESHAdminServlet" até que as credenciais padrão sejam alteradas. Além disso, revise e siga as diretrizes do fabricante para proteger o painel de configuração Web GUI e prevenir acesso não autorizado.

**Nome do software vulnerável e versões afetadas** Puwell Cloud Tech Co, Ltd 360Eyes Pro versão 3.9.5.16 **Descrição** A vulnerabilidade permite que invasores interceptem e acessem informações confidenciais, uma vez que esses dados são transmitidos em texto simples. Isso inclui credenciais de usuários e solicitações de alteração de senha. **Recomendações** Para a versão 3.9.5.16, considere implementar criptografia para a transmissão de dados confidenciais a fim de impedir a interceptação. Como solução temporária, restrinja o acesso a informações confidenciais até que uma correção adequada seja aplicada.