Gaurav Baruah

**Nome do software vulnerável e versões afetadas** Versões do Synology Router Manager anteriores à 1.2.5-8227-6 Versões do Synology Router Manager anteriores à 1.3.1-9346-3 **Descrição** O problema está relacionado à neutralização inadequada de elementos especiais usados em um comando do sistema operacional, permitindo que invasores do tipo man-in-the-middle executem comandos arbitrários. Isso pode ser explorado por invasores remotos para executar comandos por meio de vetores não especificados. **Recomendações** Para versões anteriores à 1.2.5-8227-6, atualize para a versão 1.2.5-8227-6 ou posterior. Para versões anteriores à 1.3.1-9346-3, atualize para a versão 1.3.1-9346-3 ou posterior.

**Nome do software vulnerável e versões afetadas** Versões do Synology Router Manager anteriores à 1.2.5-8227-6 Versões do Synology Router Manager anteriores à 1.3.1-9346-3 **Descrição** O problema está relacionado a uma vulnerabilidade de estouro de inteiro ou wraparound no componente CGI do Synology Router Manager. Essa vulnerabilidade pode ser explorada por um invasor remoto para comprometer a confidencialidade, integridade e disponibilidade de informações protegidas. A vulnerabilidade permite que invasores remotos causem estouro de buffers por meio de vetores não especificados. **Recomendações** Para versões anteriores à 1.2.5-8227-6, atualize para a versão 1.2.5-8227-6 ou posterior. Para versões anteriores à 1.3.1-9346-3, atualize para a versão 1.3.1-9346-3 ou posterior.

**Nome do software vulnerável e versões afetadas** Roteadores Cisco Small Business das séries RV160, RV260, RV340 e RV345 (versões afetadas não especificadas) Roteadores Cisco Small Business RV160, RV160W, RV260, RV260P, RV260W, RV340, RV340W, RV345 e RV345P (versões afetadas não especificadas) **Descrição** O problema está relacionado a várias vulnerabilidades nos roteadores Cisco Small Business, que poderiam permitir que um invasor executasse código arbitrário, elevasse privilégios, executasse comandos arbitrários, contornasse proteções de autenticação e autorização, obtivesse e executasse software não assinado ou causasse negação de serviço (DoS). A vulnerabilidade do módulo de atualização de firmware está associada à autenticação incorreta de certificados, que pode ser explorada por um invasor remoto para carregar imagens de software arbitrárias. **Recomendações** Para os roteadores Cisco Small Business das séries RV160, RV260, RV340 e RV345, no momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade. Para os roteadores Cisco Small Business RV160, RV160W, RV260, RV260P, RV260W, RV340, RV340W, RV345 e RV345P, considere restringir o acesso ao módulo de atualização de firmware para minimizar o risco de exploração até que um patch esteja disponível.

**Nome do software vulnerável e versões afetadas** Roteadores Cisco Small Business da série RV nas versões RV160, RV160W, RV260, RV260P, RV260W, RV340, RV340W, RV345, RV345P **Descrição** O problema diz respeito a uma vulnerabilidade relacionada à validação incorreta de certificados no processo de atualização de firmware dos roteadores afetados. Isso poderia permitir que um invasor executasse código arbitrário, elevasse privilégios, executasse comandos arbitrários, contornasse proteções de autenticação e autorização, baixasse e executasse software não assinado ou causasse negação de serviço (DoS). **Recomendações** Para os modelos Cisco Small Business RV160, RV160W, RV260, RV260P, RV260W, RV340, RV340W, RV345 e RV345P, considere desativar o recurso de atualização de firmware até que um patch esteja disponível. Restrinja o acesso ao módulo de atualização de firmware para minimizar o risco de exploração. Evite usar software não assinado nos dispositivos afetados até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

Name of the Vulnerable Software and Affected Versions: SolarWinds TFTP Server versions 9.2.0.111 and earlier Description: The issue allows remote attackers to cause a denial of service, resulting in the service stopping, via a crafted Option Acknowledgement (OACK) request. Recommendations: For SolarWinds TFTP Server versions 9.2.0.111 and earlier, consider disabling the service until a patch is available to prevent potential denial of service attacks.