Erik De Jong

**Nome do Software Vulnerável e Versões Afetadas** Versões do firmware Zyxel VMG8825-T50K anteriores à V5.50(ABOM.8.5)C0 **Descrição** Existe uma vulnerabilidade de injeção de comando pós-autenticação na função de diagnóstico do firmware Zyxel VMG8825-T50K, especificamente no parâmetro `DNSServer`. Isso poderia permitir que um atacante autenticado com privilégios de administrador executasse comandos do sistema operacional em um dispositivo vulnerável. **Recomendações** Para as versões do firmware Zyxel VMG8825-T50K anteriores à V5.50(ABOM.8.5)C0, considere restringir o acesso à função de diagnóstico até que um patch esteja disponível. Como solução temporária, limite o uso do parâmetro `DNSServer` para minimizar o risco de exploração.

Nome do software vulnerável e versões afetadas: Versões do firmware do Zyxel VMG4005-B50A até a V5.15(ABQA.2.2)C0 Descrição: O problema está relacionado a uma vulnerabilidade de injeção de comando pós-autenticação no parâmetro `host` da função de diagnóstico. Essa vulnerabilidade pode permitir que um invasor autenticado com privilégios de administrador execute comandos do sistema operacional em um dispositivo vulnerável. A vulnerabilidade se deve à falta de medidas para neutralizar elementos especiais usados no comando do sistema operacional. Recomendações: Para as versões de firmware do Zyxel VMG4005-B50A até a V5.15(ABQA.2.2)C0, considere desativar temporariamente a função de diagnóstico até que um patch esteja disponível. Restrinja o acesso ao parâmetro `host` na função de diagnóstico para minimizar o risco de exploração. Evite usar o parâmetro `host` na função de diagnóstico afetada até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Name of the Vulnerable Software and Affected Versions** Music Station versions prior to 5.3.22 **Description** A path traversal vulnerability has been reported to affect Music Station. If exploited, the vulnerability could allow authenticated users to read the contents of unexpected files and expose sensitive data via a network. **Recommendations** For Music Station versions prior to 5.3.22, update to version 5.3.22 or later to resolve the issue.

**Name of the Vulnerable Software and Affected Versions** Music Station versions prior to 5.3.22 **Description** A path traversal vulnerability has been reported to affect Music Station. If exploited, the vulnerability could allow authenticated users to read the contents of unexpected files and expose sensitive data via a network. **Recommendations** For versions prior to 5.3.22, update to Music Station 5.3.22 or later to resolve the issue. As a temporary workaround, consider restricting access to sensitive files and directories to minimize the risk of exploitation.

**Nome do software vulnerável e versões afetadas: HPE iLO Amplifier Pack versões 1.80, 1.81, 1.90 e 1.95 Descrição: Foi identificada uma falha de segurança de traversal de diretório remoto não autenticado. Essa falha pode ser explorada remotamente para permitir que um usuário não autenticado execute código arbitrário, causando impacto total na confidencialidade, integridade e disponibilidade do dispositivo iLO Amplifier Pack. Recomendações: Para as versões 1.80, 1.81, 1.90 e 1.95 do HPE iLO Amplifier Pack, atualize para uma versão que inclua a correção para esta vulnerabilidade. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Nozomi Networks Guardian versões 20.0.7.3 e anteriores Nozomi Networks CMC versões 20.0.7.3 e anteriores **Descrição** Existe uma vulnerabilidade de traversal de caminho ao alterar o fuso horário por meio da interface gráfica da web, permitindo que um administrador autenticado leia arquivos protegidos do sistema. **Recomendações** Para as versões 20.0.7.3 e anteriores do Nozomi Networks Guardian, considere desativar a funcionalidade de alteração de fuso horário na GUI da web até que uma correção esteja disponível. Para as versões 20.0.7.3 e anteriores do Nozomi Networks CMC, considere desativar a funcionalidade de alteração de fuso horário na GUI da web até que uma correção esteja disponível.

**Nome do software vulnerável e versões afetadas** Nozomi Networks Guardian, versões 20.0.7.3 e anteriores Nozomi Networks CMC, versões 20.0.7.3 e anteriores **Descrição** O problema é uma vulnerabilidade de injeção de comando no sistema operacional que ocorre ao alterar as configurações de data ou o nome do host usando a interface gráfica da web do Nozomi Networks Guardian e do CMC. Isso permite que administradores autenticados executem código remotamente. **Recomendações** Para as versões 20.0.7.3 e anteriores do Nozomi Networks Guardian, atualize para uma versão que corrija este problema. Para as versões 20.0.7.3 e anteriores do Nozomi Networks CMC, atualize para uma versão que corrija este problema. Como solução temporária, considere restringir o acesso à interface gráfica da web para alterar as configurações de data ou o nome do host até que um patch esteja disponível.