Gr3Gpr1Est

**Nome do software vulnerável e versões afetadas** Aplicativo de gerenciamento de projetos Rukovoditel, versão 2.6 **Descrição** A vulnerabilidade permite que um invasor insira código JavaScript no nome do arquivo, o que pode levar a ataques de Cross Site Scripting (XSS). **Recomendações** Para a versão 2.6, atualize para uma versão mais recente que contenha uma correção para essa vulnerabilidade ou, como solução temporária, considere validar e sanitizar todos os nomes de arquivos para impedir a injeção de código JavaScript malicioso.

**Nome do software vulnerável e versões afetadas** Sagemcom F@ST3686 versão 1.0 HUN 3.97.0 **Descrição** A vulnerabilidade está relacionada a um problema de segurança que permite que um invasor injete código malicioso. O número estimado de dispositivos potencialmente afetados em todo o mundo não está disponível. Os detalhes técnicos sobre a exploração incluem pontos de extremidade da API, tais como “RgDiagnostics.asp”, “RgDdns.asp”, “RgFirewallEL.asp” e “RgVpnL2tpPptp.asp”. **Recomendações** Para o Sagemcom F@ST3686 versão 1.0 HUN 3.97.0, considere restringir o acesso aos pontos de extremidade da API afetados “RgDiagnostics.asp”, “RgDdns.asp”, “RgFirewallEL.asp”, “RgVpnL2tpPptp.asp” para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para este problema.

**Name of the Vulnerable Software and Affected Versions** Tenda N301 wireless routers (affected versions not specified) **Description** The issue allows attackers to trigger a device crash by setting a zero wanMTU value in the goform/setSysTools endpoint. Although the GUI enforces a prohibition on this zero value, it is not properly enforced, making the device vulnerable to crashes. **Recommendations** For Tenda N301 wireless routers, avoid using a zero value for the `wanMTU` variable in the "goform/setSysTools" endpoint to prevent device crashes. As a temporary workaround, consider restricting access to the goform/setSysTools endpoint until a proper fix is available. At the moment, there is no information about a newer version that contains a fix for this vulnerability.