Heyder Andrade

**Nome do software vulnerável e versões afetadas: Polycom Web Management Interface G3/HDX 8000 HD com Durango versão 2.6.0 4740 Polycom Linux Development Platform versão 2.14.g3 Descrição: O problema está relacionado a uma senha administrativa padrão em branco na Polycom Web Management Interface, que pode ser utilizada sem a necessidade de definir uma senha. Recomendações: Para a Polycom Web Management Interface G3/HDX 8000 HD com Durango versão 2.6.0 4740, defina uma senha administrativa forte para impedir o acesso não autorizado. Para a Polycom Linux Development Platform versão 2.14.g3, configure uma senha administrativa segura para mitigar o risco de exploração.

**Nome do software vulnerável e versões afetadas: Terminais de vídeo Polycom HDX em versões anteriores à 3.0.4 Polycom UC APL em versões anteriores à 2.7.1.J Descrição: A falha permite que invasores remotos leiam arquivos arbitrários por meio de um .. (ponto-ponto) no parâmetro `name` do terminal a getlog.cgi. Trata-se de uma vulnerabilidade de traversal de diretório. Recomendações: Para versões anteriores à 3.0.4 dos terminais de vídeo Polycom HDX, atualize para a versão 3.0.4 ou posterior. Para versões anteriores à 2.7.1.J do Polycom UC APL, atualize para a versão 2.7.1.J ou posterior. Como solução temporária, considere restringir o acesso ao terminal a getlog.cgi até que um patch esteja disponível. Evite usar o parâmetro `name` com sequências .. (ponto ponto) no endpoint a getlog.cgi até que o problema seja resolvido.

**Nome do software vulnerável e versões afetadas: Terminais de vídeo Polycom HDX em versões anteriores à 3.0.4 UC APL em versões anteriores à 2.7.1.J Descrição: A vulnerabilidade permite que usuários remotos autenticados executem comandos arbitrários. Isso pode ser demonstrado acrescentando-se um ponto-e-vírgula ao comando ping, o que possibilita a execução de comandos adicionais. Recomendações: Para os terminais de vídeo Polycom HDX em versões anteriores à 3.0.4, atualize para a versão 3.0.4 ou posterior para resolver o problema. Para as versões do UC APL anteriores à 2.7.1.J, atualize para a versão 2.7.1.J ou posterior para resolver o problema. Como solução alternativa temporária, considere restringir o acesso ao recurso de comando ping para minimizar o risco de exploração.