Hadess

**Nome do software vulnerável e versões afetadas** FriendlyWrt versão 2022-11-16.51b3d35 **Descrição** Uma vulnerabilidade na chave criptográfica está codificada no firmware do FriendlyWrt, o que poderia permitir que um invasor comprometesse a confidencialidade e a integridade dos dados criptografados. **Recomendações** Para a versão 2022-11-16.51b3d35, no momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Korenix JetI/O 6550 versão F208 Build:0817 **Descrição** O problema diz respeito a uma vulnerabilidade de exposição de informações. Está relacionado ao protocolo SNMP, que transfere dados em texto simples. Isso permite que um invasor intercepte o tráfego e obtenha credenciais. **Recomendações** Para o Korenix JetI/O 6550 versão F208 Build:0817, considere desativar o protocolo SNMP até que uma correção esteja disponível para evitar a exposição de informações. Restrinja o acesso ao dispositivo para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** WIC1200 versão 1.1 **Descrição** Foi identificada uma vulnerabilidade de script entre sites (XSS) que permite que um usuário autenticado armazene um código JavaScript malicioso no parâmetro `device model` por meio da URL “/setup/diags ir learn.asp”. Isso permite que o invasor recupere os detalhes da sessão de outro usuário. **Recomendações** Para a versão 1.1, considere desativar o acesso ao endpoint “/setup/diags ir learn.asp” até que uma correção esteja disponível. Restrinja a capacidade de armazenar dados no parâmetro `device model` para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** WIC1200 versão 1.1 **Descrição** Foi identificada uma vulnerabilidade do tipo Cross-Site Request Forgery (CSRF), que permite que um usuário autenticado induza outro usuário a executar ações indesejadas dentro do aplicativo no qual está conectado. Isso se deve à falta de uma implementação adequada do token CSRF. **Recomendações** Para a versão 1.1, considere implementar um token CSRF adequado para impedir ações não autorizadas. Como solução temporária, restrinja o acesso a recursos confidenciais dentro do aplicativo para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** WIC200 versão 1.1 **Descrição** Foi detectada uma falha de criptografia fraca para senhas, permitindo que um usuário remoto intercepte o tráfego e obtenha as credenciais de outro usuário. As credenciais podem ser decodificadas do formato base64, permitindo que o invasor as visualize em texto simples. **Recomendações** Para a versão 1.1, considere atualizar o mecanismo de criptografia para um padrão mais seguro a fim de impedir a interceptação e a decodificação de credenciais. Como solução temporária, restrinja o acesso a áreas confidenciais do sistema para minimizar o risco de exploração.