Francesco Sortino

**Nome do software vulnerável e versões afetadas** Haas Controller versão 100.20.000.1110 **Descrição** O problema diz respeito ao serviço “Ethernet Q Commands” no Haas Controller, onde a autenticação não é atualmente suportada. Isso permite que qualquer usuário no mesmo segmento de rede que o controlador, incluindo aqueles conectados remotamente, acesse o serviço e grave macros não autorizadas no dispositivo. **Recomendações** Para o Haas Controller versão 100.20.000.1110, considere desativar o serviço “Ethernet Q Commands” até que uma correção esteja disponível para impedir o acesso não autorizado e a gravação de macros. Restrinja o acesso ao segmento de rede onde o controlador está localizado para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Haas Controller versão 100.20.000.1110 **Descrição** O problema está relacionado à granularidade insuficiente do controle de acesso ao usar o serviço “Ethernet Q Commands”. Isso permite que qualquer usuário grave macros em registros fora do intervalo de acesso autorizado, possibilitando potencialmente o acesso a recursos privilegiados ou fora de contexto. **Recomendações** Para o Haas Controller versão 100.20.000.1110, considere restringir o acesso ao serviço “Ethernet Q Commands” para minimizar o risco de exploração. Como solução temporária, limite a capacidade dos usuários de gravar macros em registros fora de seu intervalo de acesso autorizado até que um patch esteja disponível. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Haas Controller versão 100.20.000.1110 **Descrição** O problema diz respeito à transmissão do tráfego de comunicação envolvendo o serviço “Ethernet Q Commands” em texto simples. Isso permite que um invasor obtenha informações confidenciais que estão sendo enviadas de e para o controlador. **Recomendações** Para o Haas Controller versão 100.20.000.1110, considere implementar criptografia para o serviço “Ethernet Q Commands” a fim de proteger informações confidenciais. Como solução temporária, restrinja o acesso ao serviço “Ethernet Q Commands” para minimizar o risco de exploração.