Guillermo Garcia Molina

**Nome do software vulnerável e versões afetadas** Badger Meter Monitool versões 4.6.3 e anteriores **Descrição** Um invasor remoto poderia enviar uma consulta SQL especialmente criada para o servidor por meio do parâmetro `j username` e recuperar as informações armazenadas no banco de dados. Essa falha permite que um invasor explore a vulnerabilidade de injeção de SQL no Badger Meter Monitool. **Recomendações** Para as versões 4.6.3 e anteriores, considere desativar o parâmetro `j username` no endpoint da API afetado até que uma correção esteja disponível. Restrinja o acesso ao banco de dados para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Versões do Badger Meter Monitool até a 4.6.3 e anteriores **Descrição** A vulnerabilidade permite que um invasor local altere o parâmetro de arquivo do aplicativo para um arquivo de log, obtendo informações confidenciais, como credenciais de banco de dados. **Recomendações** Para versões até 4.6.3 e anteriores, como solução temporária, considere restringir o acesso aos arquivos de log e às informações confidenciais até que uma correção esteja disponível. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Versões do Badger Meter Monitool anteriores à 4.6.3 **Descrição** A vulnerabilidade permite que um invasor autenticado recupere qualquer arquivo do dispositivo usando a funcionalidade de download de arquivos, devido à limitação incorreta do caminho para um diretório restrito. **Recomendações** Para versões anteriores à 4.6.3, atualize para uma versão que inclua a correção para esta vulnerabilidade. Como solução temporária, considere restringir o acesso à funcionalidade de download de arquivos até que um patch esteja disponível.

**Nome do software vulnerável e versões afetadas** Versões do Badger Meter Monitool até a 4.6.3 e anteriores **Descrição** O problema é uma vulnerabilidade de script entre sites (XSS) que permite que um invasor remoto envie um código JavaScript especialmente criado a um usuário autenticado, podendo sequestrar sua sessão do navegador. **Recomendações** Para versões até 4.6.3 e anteriores, atualize para uma versão posterior à 4.6.3 para resolver o problema. Como solução alternativa temporária, considere restringir o acesso à interface do Monitool para minimizar o risco de exploração.