H0E4A0R1T_-_-

**Nome do Software Vulnerável e Versões Afetadas** Versões do Wifi-soft UniBox Controller até 20250506 **Descrição** Uma vulnerabilidade crítica foi encontrada no Wifi-soft UniBox Controller, afetando uma funcionalidade desconhecida do arquivo /authentication/logout.php. A manipulação do argumento `mac address` leva à injeção de comando do sistema operacional. O ataque pode ser lançado remotamente. O exploit foi divulgado ao público e pode ser utilizado. O fabricante foi contatado com antecedência sobre esta divulgação, mas não respondeu. **Recomendações** Para as versões do Wifi-soft UniBox Controller até 20250506, como solução temporária, considere desativar o arquivo /authentication/logout.php ou restringir o acesso a ele até que uma correção esteja disponível. Evite usar o argumento `mac address` no endpoint da API afetado até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** Wifi-soft UniBox Controller versões até 20250506 **Descrição** Foi identificada uma vulnerabilidade crítica, afetando alguma funcionalidade desconhecida do arquivo /billing/test accesscodelogin.php. A manipulação do argumento `Password` leva à injeção de comandos do sistema operacional. Esta vulnerabilidade pode ser explorada remotamente. O exploit foi divulgado publicamente e pode ser utilizado. O fornecedor foi contatado sobre esta divulgação, mas não respondeu. **Recomendações** Para as versões do Wifi-soft UniBox Controller até 20250506, como medida de contorno temporária, considere restringir o acesso ao arquivo /billing/test accesscodelogin.php e evitar o uso do argumento `Password` neste contexto até que uma correção esteja disponível. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** Versões do Wifi-soft UniBox Controller até 20250506 **Descrição** Um problema crítico foi encontrado no Wifi-soft UniBox Controller, afetando uma parte desconhecida do arquivo /billing/pms check.php. A manipulação do argumento `ipaddress` leva à injeção de comandos do sistema operacional. É possível iniciar o ataque remotamente. O fornecedor foi contatado antecipadamente sobre esta divulgação, mas não respondeu de nenhuma forma. **Recomendações** Para as versões do Wifi-soft UniBox Controller até 20250506, como medida de contorno temporária, considere restringir o acesso ao arquivo /billing/pms check.php e evitar o uso do argumento `ipaddress` neste contexto até que um patch esteja disponível. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Versões do software Altenergy Power Control até 20241108 **Descrição** Foi identificada uma vulnerabilidade crítica no software Altenergy Power Control, afetando a função `get status zigbee` do arquivo `/index.php/display/status zigbee`. A manipulação do argumento `date` leva a uma injeção de SQL. O ataque pode ser iniciado remotamente. A exploração foi divulgada ao público e pode estar em uso. O fornecedor foi contatado antecipadamente sobre essa divulgação, mas não respondeu de forma alguma. **Recomendações** Para as versões do software Altenergy Power Control até 20241108, como solução temporária, considere desativar a função `get status zigbee` até que um patch esteja disponível. Restrinja o acesso ao endpoint `/index.php/display/status zigbee` para minimizar o risco de exploração. Evite usar o argumento `date` no endpoint da API afetado até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Versões do software Altenergy Power Control até 20241108 **Descrição** Foi identificada uma falha crítica no software, afetando algum processamento desconhecido do arquivo /index.php/display/database/, levando a uma autorização indevida. O ataque pode ser iniciado remotamente. Outros endpoints também podem ser afetados. O fornecedor foi contatado antecipadamente sobre esta divulgação, mas não respondeu de forma alguma. **Recomendações** Para versões até 20241108, como solução temporária, considere restringir o acesso ao endpoint /index.php/display/database/ até que uma correção esteja disponível. Evite usar esse endpoint remotamente para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para este problema.