Havook

**Nome do Software Vulnerável e Versões Afetadas** D-Link DSL-2740R versão EU 01.15 **Description** Um problema de cross-site scripting existe na seção Wireless Setup Section. Atacantes remotos podem executar isso manipulando o argumento `Wireless Network Name`. Cross-site scripting é uma falha que permite a um invasor injetar scripts maliciosos em páginas web visualizadas por outros usuários. **Recommendations** No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** BDCOM P3310D versão 0.4.2 10.1.0F Build 86345 **Descrição** Um problema existe no componente New RMON Statistics Page, onde a manipulação do argumento `Owner` permite a execução remota de cross-site scripting (XSS), uma técnica na qual scripts maliciosos são injetados em sites confiáveis. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** BDCOM P3310D versão 0.4.2 10.1.0F Build 86345 **Descrição** Um problema no componente New RMON History Page permite a exploração remota via cross-site scripting (XSS), uma técnica onde scripts maliciosos são injetados em sites confiáveis. A falha é desencadeada pela manipulação do argumento `Owner`. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** Datacom DM4100 versão 1.3.6.1.4.1.3709 **Descrição** Um problema de cross-site scripting existe na Página de Configuração Ethernet. Um invasor remoto pode iniciar um ataque manipulando o argumento `Name`. Cross-site scripting é uma falha que permite a um invasor injetar scripts maliciosos em páginas web visualizadas por outros usuários. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** BDCOM P3310D versão 0.4.2 10.1.0F Build 86345 **Descrição** Uma falha de segurança no componente New User Page permite que atacantes remotos realizem cross-site scripting (XSS), uma técnica onde scripts maliciosos são injetados em sites confiáveis. O problema existe em uma função desconhecida do endpoint '/index.asp', especificamente através da manipulação do argumento `User name`. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas:** Sapido RB-1802 versão 1.0.32 **Descrição:** Existe uma vulnerabilidade de cross-site scripting no componente da Página de Filtragem de URL, especificamente dentro do arquivo `urlfilter.asp`. A manipulação do argumento de endereço `URL` pode levar à exploração. O exploit foi divulgado publicamente. **Recomendações:** Atualize para uma versão mais recente que contenha uma correção para este problema. Como solução alternativa temporária, considere desativar a funcionalidade da Página de Filtragem de URL até que um patch esteja disponível.

**Nome do Software Vulnerável e Versões Afetadas:** D-Link DIR-818LW versões até 20191215 **Descrição:** Existe um problema crítico no D-Link DIR-818LW. A vulnerabilidade está localizada no componente da Página de Hora do Sistema. A manipulação do argumento `NTP Server` pode levar à injeção de comandos do sistema operacional, permitindo ataques remotos. O exploit foi divulgado publicamente. Este problema afeta apenas produtos que não são mais suportados pelo mantenedor. **Recomendações:** Versões anteriores a 20191215: No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** Intelbras RF 301K versão 1.1.5 **Descrição** Foi identificado um problema no componente Add Static IP, onde a manipulação do argumento `Description` resulta em cross-site scripting. Este problema pode ser explorado remotamente. **Recomendações** Para o Intelbras RF 301K versão 1.1.5, como medida temporária, considere restringir o uso do componente Add Static IP até que um patch esteja disponível. Evite utilizar o argumento `Description` no componente afetado para minimizar o risco de exploração.

**Nome do Software Vulnerável e Versões Afetadas** Oiwtech OIW-2431APGN-HP versão 2.5.3-B20131128 **Descrição** Foi descoberto um problema crítico, afetando o componente Personal Script Submenu, especificamente o arquivo /boafrm/formScript. Esta falha resulta em injeção de comandos no sistema operacional e pode ser iniciada remotamente. O fabricante foi contatado sobre a divulgação, mas não respondeu. **Recomendações** Para o Oiwtech OIW-2431APGN-HP versão 2.5.3-B20131128, como medida temporária, considere restringir o acesso ao arquivo /boafrm/formScript para minimizar o risco de exploração. Até o momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

Nome do Software Vulnerável e Versões Afetadas: Castlenet CBW383G2N até 20250301 Descrição: Foi identificada uma vulnerabilidade que afeta uma parte desconhecida do arquivo /RgSwInfo.asp. A manipulação do argumento `Description` com a entrada `<img/src/onerror=prompt(8)>` resulta em cross-site scripting. É possível iniciar o ataque remotamente. Outros parâmetros também podem ser afetados. Recomendações: Para o Castlenet CBW383G2N até 20250301, como medida temporária, considere restringir o acesso ao arquivo `/RgSwInfo.asp` até que um patch esteja disponível. Evite utilizar o argumento `Description` no arquivo afetado para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Name of the Vulnerable Software and Affected Versions** Claro A7600-A1 RNR4-A72T-2x16 v2110403 CLA 32 160817 **Description** A problem has been found in the Ping6 Diagnóstico component, specifically in the /form2pingv6.cgi file. The issue affects some unknown functionality of this file. The manipulation of the `ip6addr` argument with specific input, such as `<img/src/onerror=prompt(8)>`, leads to cross-site scripting. This issue can be exploited remotely. The exploit has been made public, and the vendor was contacted about this issue but did not respond. **Recommendations** As a temporary workaround, consider restricting access to the /form2pingv6.cgi file to minimize the risk of exploitation. Avoid using the `ip6addr` argument in the affected component until the issue is resolved. At the moment, there is no information about a newer version that contains a fix for this vulnerability.

**Nome do Software Vulnerável e Versões Afetadas** FiberHome AN5506-01A ONU GPON RP2511 (versões afetadas não especificadas) **Descrição** O problema diz respeito a uma vulnerabilidade de cross-site scripting relacionada ao portForwardingCfg pf Description no submenu de Encaminhamento de Porta. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** FiberHome AN5506-01A ONU GPON RP2511 (versões afetadas não especificadas) **Descrição** O problema refere-se a uma vulnerabilidade de cross-site scripting no Submenu de Filtragem de URL, afetando especificamente o endpoint "/goform/URL filterCfg" com o parâmetro `url IP`. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Name of the Vulnerable Software and Affected Versions** Netis WF2780 version 2.1.41925 **Description** The issue concerns a cross-site scripting (XSS) problem in the 2.4G Menu SSID of the Netis WF2780 wireless device. **Recommendations** For version 2.1.41925, update the firmware to a version that addresses the XSS issue in the 2.4G Menu SSID.

**Nome do Software Vulnerável e Versões Afetadas** Versões do Postman até a 11.20 **Descrição** Foi identificado um problema no Postman para Windows, afetando uma parte desconhecida do arquivo de biblioteca profapi.dll. A manipulação resulta em um caminho de pesquisa não confiável. O ataque requer acesso local e apresenta complexidade relativamente alta, com difícil explorabilidade. O fornecedor foi contatado sobre esta divulgação, mas não respondeu. **Recomendações** Para as versões do Postman até a 11.20, como solução temporária, considere restringir o acesso ao arquivo de biblioteca profapi.dll para minimizar o risco de exploração. Atualmente, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** Versões do Discord até 1.0.9177 **Descrição** Foi identificado um problema no Discord que afeta alguma funcionalidade desconhecida na biblioteca profapi.dll, resultando em um caminho de busca não confiável. O ataque requer acesso local e possui complexidade bastante alta, com exploração difícil. A falha pode permitir que um invasor impacte a confidencialidade, integridade e disponibilidade das informações protegidas. **Recomendações** Para versões até 1.0.9177, como medida paliativa temporária, considere restringir o acesso à biblioteca profapi.dll até que uma correção esteja disponível. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** Versões do Epic Games Launcher até a 17.2.1 **Descrição** Uma vulnerabilidade foi encontrada no Epic Games Launcher, afetando a biblioteca profapi.dll do componente Installer. O problema resulta em um caminho de pesquisa não confiável. É necessário um ataque local, e a complexidade do ataque é bastante alta, tornando a exploração difícil. **Recomendações** Para as versões do Epic Games Launcher até a 17.2.1, atualize para uma versão posterior à 17.2.1 para resolver o problema. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** libretro RetroArch versões até 1.19.1 **Descrição** Foi identificado um problema na biblioteca profapi.dll do componente Startup, resultando em um caminho de pesquisa não confiável. A exploração requer um ataque local. O fornecedor foi contatado sobre esta divulgação, mas não respondeu. **Recomendações** Para versões até 1.19.1, como solução temporária, considere restringir o acesso à biblioteca `profapi.dll` para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** code-projects Online Bike Rental versão 1.0 **Descrição** Uma vulnerabilidade problemática foi encontrada no code-projects Online Bike Rental. O problema afeta uma função desconhecida do arquivo /vehical-details.php do componente HTTP GET Request Handler, resultando em cross-site scripting. O ataque pode ser executado remotamente. **Recomendações** Para o code-projects Online Bike Rental versão 1.0, considere desativar a funcionalidade HTTP GET Request Handler no arquivo /vehical-details.php até que um patch esteja disponível. Restrinja o acesso ao arquivo /vehical-details.php para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** Trimble SPS851 versão 488.01 **Descrição** Foi identificada uma falha no componente Menu de Configuração Ethernet do software afetado. A manipulação do argumento `Hostname` resulta em cross-site scripting. É possível iniciar o ataque remotamente. O exploit foi divulgado publicamente e pode ser utilizado. O fabricante foi contatado antecipadamente sobre esta divulgação, mas não respondeu de forma alguma. **Recomendações** Para o Trimble SPS851 versão 488.01, como solução temporária, considere restringir o acesso ao Menu de Configuração Ethernet até que um patch esteja disponível. Evite manipular o argumento `Hostname` no componente afetado para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para este problema.