Geochen

**Nome do Software Vulnerável e Versões Afetadas** Huly Platform versões anteriores a 0.7.0 **Description** Existe uma autorização inadequada no componente User Information Handler. Um invasor remoto pode manipular a função `getAccountInfo()` no arquivo `server/account/src/operations.ts` para burlar os controles de autorização. **Recommendations** Atualize para uma versão posterior a 0.7.0. Como medida paliativa temporária, restrinja o acesso à função `getAccountInfo()` até que uma correção seja aplicada.

**Nome do Software Vulnerável e Versões Afetadas** Huly Platform versões anteriores a 0.7.1 **Description** Controles de acesso inadequados no componente RPC Interface permitem ataques remotos. O problema está localizado na função `getMailboxSecret()` dentro do arquivo `server/account/src/operations.ts`. **Recommendations** Atualize para uma versão posterior a 0.7.0. Como medida paliativa temporária, restrinja o acesso à função `getMailboxSecret()`.

**Nome do Software Vulnerável e Versões Afetadas** TwiN gatus versão 5.36.0 **Description** Uma falha existe no componente OIDC Session Cookie Handler, especificamente na função `setSessionCookie()` do arquivo `security/oidc.go`. Um atacante remoto pode realizar uma manipulação de alta complexidade para fazer com que cookies sensíveis sejam emitidos sem o atributo secure, que garante que os cookies sejam transmitidos apenas através de conexões criptografadas. **Recommendations** No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** Bolt CMS versões anteriores a 3.7.6 **Descrição** Um problema existe no componente HTML Attribute Handler dentro do arquivo `src/Storage/Field/Type/TextType.php`. Um invasor remoto pode realizar a injeção de HTML manipulando o argumento `style`. Isso afeta produtos que não são mais suportados pelo mantenedor. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.

**Name of the Vulnerable Software and Affected Versions** code-projects Online Examination System version 1.0 **Description** A flaw exists in the Online Examination System that allows for remote SQL injection. This occurs through manipulation of the `User` argument within the /index.php file, specifically related to the Login Page component. The exploit for this issue has been publicly disclosed. **Recommendations** Apply any available updates or patches to address the SQL injection vulnerability in the /index.php file. As a temporary workaround, consider restricting or carefully validating the `User` input parameter to prevent malicious SQL code injection.

**Name of the Vulnerable Software and Affected Versions** code-projects Online Examination System version 1.0 **Description** A flaw exists in code-projects Online Examination System 1.0 related to functionality within the `/admin pic.php` file. This allows for unrestricted file uploads, potentially exploitable from a remote location. The details of the exploit have been publicly released. **Recommendations** At the moment, there is no information about a newer version that contains a fix for this vulnerability.

**Name of the Vulnerable Software and Affected Versions** code-projects Online Examination System version 1.0 **Description** A flaw exists in the Add Pages component of the software, allowing for cross site scripting. This manipulation can be executed remotely. The exploit details have been publicly disclosed. **Recommendations** At the moment, there is no information about a newer version that contains a fix for this vulnerability.

**Nome do Software Vulnerável e Versões Afetadas** 70mai X200 versões até 20251019 **Descrição** Existe uma falha no componente Init Script Handler do software que permite inclusão de arquivos. O ataque requer acesso local e é considerado difícil de explorar. O exploit foi divulgado publicamente. O fabricante foi notificado, mas não respondeu. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** 70mai X200 versões até 20251010 **Descrição** Existe uma falha no componente de pareamento do 70mai X200 até a versão 20251010. A manipulação de uma função desconhecida pode resultar em ausência de autenticação. Este problema pode ser explorado remotamente. O exploit foi publicado. O fornecedor foi contatado, mas não respondeu. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** Versões do 70mai X200 até 20251010 **Descrição** Existe uma vulnerabilidade no componente do Servidor Web HTTP dos dispositivos 70mai X200. Esta vulnerabilidade permite o uso de credenciais padrão, e o ataque pode ser iniciado remotamente. O exploit foi divulgado publicamente. O fabricante foi informado sobre a divulgação, mas não respondeu. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

Nome do Software Vulnerável e Versões Afetadas: BlackVue Dashcam 590X até 20250624 Descrição: Um problema crítico afeta uma funcionalidade desconhecida do arquivo /upload.cgi do componente Configuration Handler, resultando em controles de acesso inadequados. O ataque deve ser iniciado dentro da rede local. O exploit foi divulgado publicamente e pode ser utilizado. O fabricante foi contatado sobre esta divulgação, mas não respondeu. Recomendações: Para o BlackVue Dashcam 590X até 20250624, como solução temporária, considere restringir o acesso ao arquivo /upload.cgi até que uma correção esteja disponível. Atualmente, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

Nome do Software Vulnerável e Versões Afetadas: BlackVue Dashcam 590X até 20250624 Descrição: Uma vulnerabilidade crítica afeta uma funcionalidade desconhecida do arquivo /upload.cgi do componente endpoint HTTP, resultando em upload sem restrições. O ataque precisa ser realizado dentro da rede local. O exploit foi divulgado publicamente e pode ser utilizado. O fabricante foi contatado antecipadamente sobre esta divulgação, mas não respondeu. Recomendações: Para o BlackVue Dashcam 590X até 20250624, como medida de contorno temporária, considere restringir o acesso ao endpoint HTTP /upload.cgi até que uma correção esteja disponível. Evite utilizar o endpoint HTTP vulnerável na rede local para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

Name of the Vulnerable Software and Affected Versions: IROAD Dashcam Q9 up to 20250624 Description: A vulnerability has been found in the component MFA Pairing Request Handler, affecting an unknown functionality. The manipulation leads to allocation of resources. The attack needs to be done within the local network. The vendor was contacted early about this disclosure but did not respond in any way. Recommendations: For IROAD Dashcam Q9 up to 20250624, as a temporary workaround, consider restricting access to the local network to minimize the risk of exploitation. At the moment, there is no information about a newer version that contains a fix for this vulnerability.

Nome do Software Vulnerável e Versões Afetadas: NOYAFA/Xiami LF9 Pro até 20250611 Descrição: Foi identificada uma vulnerabilidade no componente de Endpoint de Stream de Vídeo Ao Vivo RTSP do dispositivo NOYAFA/Xiami LF9 Pro. Esse problema resulta em controles de acesso inadequados, permitindo acesso não autorizado ou manipulação dos fluxos de vídeo. O ataque só pode ser iniciado na rede local. O exploit foi divulgado publicamente. Recomendações: Para o NOYAFA/Xiami LF9 Pro até 20250611, considere restringir o acesso ao Endpoint de Stream de Vídeo Ao Vivo RTSP para minimizar o risco de exploração até que um patch esteja disponível. Atualmente, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

Nome do Software Vulnerável e Versões Afetadas: 70mai 1S até 20250611 Descrição: Foi identificada uma falha no componente Video Services, resultando em autenticação inadequada. Esta falha requer acesso à rede local para ser explorada, possui alta complexidade e é considerada difícil de explorar. O exploit foi divulgado publicamente. Recomendações: Para 70mai 1S até 20250611, no momento, não há informações sobre uma versão mais recente que contenha uma correção para esta falha.

Nome do Software Vulnerável e Versões Afetadas: 70mai M300 até 20250611 Descrição: Uma vulnerabilidade foi identificada no componente do Serviço Telnet, afetando uma parte desconhecida do arquivo demo.sh. A manipulação resulta em negação de serviço. É necessário acesso à rede local para este ataque. A complexidade do ataque é relativamente alta e a exploração é considerada difícil. O exploit foi divulgado publicamente e pode ser utilizado. O fabricante foi contatado com antecedência sobre esta divulgação, mas não respondeu de nenhuma forma. Recomendações: Para o 70mai M300 até 20250611, como medida temporária, considere desativar o Serviço Telnet até que uma correção esteja disponível. Restrinja o acesso à rede local para minimizar o risco de exploração. Evite utilizar o arquivo `demo.sh` no componente do Serviço Telnet até que a questão seja resolvida. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

Name of the Vulnerable Software and Affected Versions: 70mai M300 up to 20250611 Description: A critical issue was found in the Telnet Service component, allowing the use of default credentials. The attack must be initiated within the local network. The exploit has been disclosed to the public and may be used. The vendor was contacted about this disclosure but did not respond. Recommendations: For 70mai M300 up to 20250611, consider disabling the Telnet Service as a temporary workaround until a patch is available. Restrict access to the local network to minimize the risk of exploitation. Avoid using default credentials in the Telnet Service until the issue is resolved. At the moment, there is no information about a newer version that contains a fix for this vulnerability.

Nome do Software Vulnerável e Versões Afetadas: 70mai M300 até 20250611 Descrição: Uma vulnerabilidade foi encontrada no Endpoint de Stream de Vídeo Ao Vivo RTSP do 70mai M300, afetando uma funcionalidade desconhecida do arquivo /livestream/12. Isso leva à autenticação imprópria. O ataque deve ser realizado dentro da rede local. O exploit foi divulgado ao público e pode ser utilizado. O fabricante foi contatado sobre esta divulgação, mas não respondeu. Recomendações: Para o 70mai M300 até 20250611, como medida de contorno temporária, considere restringir o acesso ao Endpoint de Stream de Vídeo Ao Vivo RTSP, especificamente ao arquivo /livestream/12, para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

Nome do Software Vulnerável e Versões Afetadas: 70mai M300 versões até 20250611 Descrição: Um problema foi identificado no componente do Servidor Web, afetando uma função desconhecida. Isso resulta em controles de acesso inadequados. O ataque só pode ser iniciado dentro da rede local e possui complexidade bastante alta, sendo de difícil exploração. O exploit foi divulgado publicamente. Recomendações: Para as versões do 70mai M300 até 20250611, considere restringir o acesso ao componente do Servidor Web para minimizar o risco de exploração. Como solução temporária, considere desativar funções desconhecidas do componente do Servidor Web até que uma correção esteja disponível. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

Nome do Software Vulnerável e Versões Afetadas: 70mai M300 versões até a 20250611 Descrição: Foi identificada uma falha no componente do Servidor HTTP, resultando em proteção insuficiente de credenciais. O ataque só pode ser realizado na rede local e possui alta complexidade, o que dificulta a exploração. O exploit foi divulgado publicamente. Recomendações: Para as versões do 70mai M300 até a 20250611, considere restringir o acesso ao componente do Servidor HTTP para minimizar o risco de exploração. Como medida de contorno temporária, evite usar o dispositivo em redes não confiáveis até que uma correção esteja disponível. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.