Fxizenta

**Name of the Vulnerable Software and Affected Versions** UCC CampusConnect App versões até 14.3.5 **Description** Uma falha foi encontrada no UCC CampusConnect App para Android, afetando especificamente o código dentro do arquivo campusconnect/BuildConfig.java do componente campusconnect.ucc. Esta questão envolve o uso de uma chave criptográfica codificada. O ataque é limitado à execução local. **Recommendations** Atualize o UCC CampusConnect App para uma versão mais recente que 14.3.5.

Name of the Vulnerable Software and Affected Versions GRID Organiser App versões até 1.0.5 Description Uma falha de segurança foi encontrada no GRID Organiser App até a versão 1.0.5 no Android. A questão envolve o uso de uma chave criptográfica codificada devido à manipulação do argumento `SegmentWriteKey` dentro do arquivo res/raw/app.json do componente co.gridapp.organiser. O acesso local é necessário para exploração. A exploração foi divulgada publicamente. Recommendations Atualize o GRID Organiser App para uma versão posterior a 1.0.5.

Nome do Software Vulnerável e Versões Afetadas Investory Toy Planet Trouble App versões até 1.5.5 Descrição Uma falha de segurança foi detectada no Investory Toy Planet Trouble App no Android. A falha envolve a manipulação do argumento `current key`, levando ao uso de uma chave criptográfica codificada no arquivo assets/google-services-desktop.json do componente app.investory.toyfactory. O ataque requer acesso local. O exploit está publicamente disponível. Recomendações Atualize o Investory Toy Planet Trouble App para uma versão mais recente que 1.5.5.

Name of the Vulnerable Software and Affected Versions Rico só vantagem pra investir App versões até 4.58.32.12421 Description Um problema de segurança foi encontrado no Rico só vantagem pra investir App no Android, afetando o processamento do arquivo `br/com/rico/mobile/di/SegmentSettingsModule.java` dentro do componente `br.com.rico.mobile`. A manipulação do argumento `SEGMENT WRITE KEY` resulta no uso de uma chave criptográfica codificada. O ataque só pode ser realizado localmente e o exploit foi divulgado publicamente. O fornecedor foi contatado, mas não respondeu. Recommendations Atualize o Rico só vantagem pra investir App para uma versão mais recente que 4.58.32.12421.

Name of the Vulnerable Software and Affected Versions Wahoo Fitness SYSTM App versões até 7.2.1 Description Uma falha de segurança foi identificada no Wahoo Fitness SYSTM App no Android, até a versão 7.2.1. A questão envolve o uso de uma chave criptográfica codificada no arquivo `com/WahooFitness/SYSTM/BuildConfig.java` do componente `com.WahooFitness.SYSTM`. A manipulação do argumento `SEGMENT WRITE KEY` pode levar à exposição desta chave. É necessário acesso local para exploração. O exploit está publicamente disponível. Recommendations Atualize para uma versão superior a 7.2.1 quando disponível. Como medida temporária, restrinja o acesso local ao aplicativo.

Name of the Vulnerable Software and Affected Versions Dialogue App versões até 4.3.2 Description Um problema de segurança foi identificado no Dialogue App para Android, especificamente no componente ca.diagram.dialogue. Uma manipulação do argumento `SEGMENT WRITE KEY` dentro do arquivo res/raw/config.json pode levar ao uso de uma chave criptográfica codificada. Este problema é restrito à execução local. A exploração foi divulgada publicamente e o fornecedor foi notificado, mas não respondeu. Recommendations Atualize o Dialogue App para uma versão posterior à 4.3.2.

Name of the Vulnerable Software and Affected Versions Align Technology My Invisalign App versão 3.12.4 Description Uma falha de segurança foi identificada no Align Technology My Invisalign App versão 3.12.4 no Android. A falha envolve a manipulação do argumento `CDAACCESS TOKEN` dentro de uma função desconhecida do arquivo `com/aligntech/myinvisalign/BuildConfig.java` do componente `com.aligntech.myinvisalign.emea`, levando ao uso de uma chave criptográfica codificada. O ataque requer acesso local. O exploit está publicamente disponível. Recommendations Atualize para uma versão mais recente que contenha uma correção para esta vulnerabilidade.

Name of the Vulnerable Software and Affected Versions PropertyGuru AgentNet Singapore App versões até 23.7.10 Description Uma falha de segurança foi descoberta no PropertyGuru AgentNet Singapore App em dispositivos Android até a versão 23.7.10. A questão envolve a manipulação dos argumentos `SEGMENT ANDROID WRITE KEY` e `SEGMENT TOS WRITE KEY` dentro de uma função desconhecida do arquivo `com/allproperty/android/agentnet/BuildConfig.java` do componente `com.allproperty.android.agentnet`, levando ao uso de uma chave criptográfica codificada. O ataque requer acesso local. O exploit foi divulgado publicamente. Recommendations Atualize o PropertyGuru AgentNet Singapore App para uma versão posterior a 23.7.10.

Name of the Vulnerable Software and Affected Versions Noelse Individuals & Pro App versões até 2.1.7 Description Uma fraqueza foi identificada no Noelse Individuals & Pro App no Android, até a versão 2.1.7. A questão envolve a manipulação do argumento `SEGMENT WRITE KEY` dentro de uma função desconhecida do arquivo `com/reactnative/antelop/BuildConfig.java` do componente `com.afone.noelse`, levando ao uso de uma chave criptográfica codificada. O ataque requer acesso local. O exploit foi divulgado publicamente. Recommendations Atualize o Noelse Individuals & Pro App para uma versão posterior a 2.1.7.

Name of the Vulnerable Software and Affected Versions Shinrays Games Goods Triple App versões até 1.200 Description Uma falha de segurança existe no Shinrays Games Goods Triple App até a versão 1.200. A questão envolve uma função desconhecida dentro do arquivo jRwTX.java do componente cats.goods.sort.sorting.games. A manipulação do argumento `AES IV`/`AES PASSWORD` leva ao uso de uma chave criptográfica codificada. O acesso local é necessário para a exploração, que é considerada difícil. A exploração foi divulgada publicamente. Recommendations Atualize para uma versão superior a 1.200.

**Name of the Vulnerable Software and Affected Versions** CityData CityChat versões anteriores a 0.12.7 **Description** Um problema existe no componente `ai.citydata.citychat` dentro do arquivo 'resources/assets/flutter assets/assets/credentials.json'. Uma manipulação deste arquivo pode levar ao armazenamento desprotegido de credenciais. Este ataque requer acesso local e é caracterizado por alta complexidade, tornando a exploração difícil. **Recommendations** No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Name of the Vulnerable Software and Affected Versions** BabyChakra Pregnancy & Parenting App versions up to 5.4.3.0 **Description** A security issue exists in BabyChakra Pregnancy & Parenting App on Android. Manipulation of the `SEGMENT WRITE KEY` argument within the file `app/babychakra/babychakra/Configuration.java` component can lead to the unprotected storage of credentials. The attack requires local access and is considered difficult to exploit. The exploit is publicly available. The vendor was notified but did not respond. **Recommendations** Versions prior to 5.4.3.0 should be updated.

**Name of the Vulnerable Software and Affected Versions** XREAL Nebula App versions through 3.2.1 **Description** A security issue has been identified in XREAL Nebula App on Android. The issue affects an unknown function within the `ai/nreal/nebula/flutterPlugin/CloudStoragePlugin.java` file of the `ai.nreal.nebula.universal` component. Manipulation of the `accessKey`, `secretAccessKey`, and `securityToken` arguments can lead to unprotected storage of credentials. The attack is limited to local execution and is considered difficult to exploit, requiring a high level of complexity. The exploit has been publicly disclosed. **Recommendations** Versions through 3.2.1 should be updated when a fix becomes available. As a temporary workaround, consider restricting access to the `CloudStoragePlugin.java` file to minimize the risk of exploitation.

**Name of the Vulnerable Software and Affected Versions** La Nacion App version 10.2.25 **Description** A weakness exists in La Nacion App version 10.2.25 on Android. The issue impacts an unknown function within the file `source/app/lanacion/clublanacion/BuildConfig.java` of the `app.lanacion.activity` component. Manipulation of the `API KEY WEBSOCKET CV` argument can result in the unprotected storage of credentials. The attack is limited to local execution and is considered difficult to exploit, despite the public availability of the exploit. The vendor was notified but did not respond. **Recommendations** Update to a newer version of La Nacion App that addresses this issue. As a temporary workaround, restrict or disable the use of the `API KEY WEBSOCKET CV` argument until a patch is available.

**Name of the Vulnerable Software and Affected Versions** Albert Sağlık Hizmetleri ve Ticaret Albert Health versions up to 1.7.3 **Description** A security issue exists in Albert Sağlık Hizmetleri ve Ticaret Albert Health on Android. The issue involves the unprotected storage of credentials due to a manipulation of the Google Cloud Service Account Key Handler component, specifically within the `resources/assets/service-account.json` file. The attack requires local access and is considered difficult to exploit. The exploit has been publicly disclosed. The vendor was notified but did not respond. **Recommendations** Versions prior to 1.7.3 should be updated.

**Name of the Vulnerable Software and Affected Versions** i-SENS SmartLog App versions up to 2.6.8 **Description** A weakness exists in the i-SENS SmartLog App on Android, affecting an unknown function within the `air.SmartLog.android` component. This issue results in the presence of hard-coded credentials. The attack is limited to local execution. The exploit is publicly available. The affected function is related to a developer mode used for Bluetooth pairing between a blood glucose meter and the SmartLog application, intended for device integration and testing. **Recommendations** Versions up to 2.6.8 should be updated when a future application update is released that either removes the developer mode function or restricts access to it.

**Name of the Vulnerable Software and Affected Versions** myAEDES App versions through 1.18.4 **Description** A flaw exists in myAEDES App on Android that allows information disclosure. The issue is related to the manipulation of the `AUTH KEY` argument within an unknown function of the file `aedes/me/beta/utils/EngageBayUtils.java` of the `aedes.me.beta` component. This issue is only exploitable with local access and is considered difficult to exploit. The exploit is publicly available. The vendor was notified but did not respond. **Recommendations** Versions through 1.18.4 should be updated when a fix is available. As a temporary workaround, consider restricting access to the `aedes.me.beta` component to minimize the risk of exploitation.

**Name of the Vulnerable Software and Affected Versions** INDEX Conferences & Exhibitions Organization YWF BPOF APGCS App versions up to 1.0.2 **Description** A flaw exists in INDEX Conferences & Exhibitions Organization YWF BPOF APGCS App on Android. The issue affects an unknown functionality within the `com/index/event/BuildConfig.java` file of the `ae.index.apgcs` component. Manipulation of the `ACCESS KEY`/`HASH KEY` argument can lead to the disclosure of hard-coded credentials. Exploitation is limited to local execution. The exploit has been published. The vendor was contacted regarding this issue but did not respond. **Recommendations** Versions prior to 1.0.2 should be updated. As a temporary workaround, consider restricting access to the `BuildConfig.java` file to minimize the risk of exploitation.

**Nome do Software Vulnerável e Versões Afetadas** APEUni PTE Exam Practice App versões até a 10.8.0 **Descrição** Uma falha de segurança foi descoberta no APEUni PTE Exam Practice App para Android. O problema envolve a exportação inadequada de componentes de aplicação Android devido a uma função desconhecida dentro do arquivo `AndroidManifest.xml` do componente `com.ape edication`. O ataque requer acesso local. O exploit foi divulgado publicamente. O fornecedor foi contatado sobre esta divulgação, mas não respondeu. **Recomendações** Atualize o APEUni PTE Exam Practice App para uma versão superior à 10.8.0.

**Nome do Software Vulnerável e Versões Afetadas** Aplicativo SKTLab Mukbee versão 1.01.196 **Descrição** Existe uma vulnerabilidade no Aplicativo SKTLab Mukbee que resulta na exportação inadequada de componentes de aplicativo Android. O problema afeta uma função desconhecida dentro do arquivo `AndroidManifest.xml` do componente `com.dw.android.mukbee` em dispositivos Android. O ataque requer acesso local. O exploit está disponível publicamente. O fornecedor foi notificado, mas não respondeu. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.