Jasper Nota

**Nome do software vulnerável e versões afetadas** Versões do Lush 2 até 25/02/2020 Versões do Tk-star (versões afetadas não especificadas) Versões de produtos Epson (versões afetadas não especificadas) Versões do One2Track (versões afetadas não especificadas) Versões de impressoras Brother (versões afetadas não especificadas) Versões do Svakom Nan (versões afetadas não especificadas) Versões do Loven Nan (versões afetadas não especificadas) Versões do Loven (versões afetadas não especificadas) **Descrição** O problema está relacionado à falta de criptografia do tráfego Bluetooth, permitindo que um invasor se aproprie de uma conexão Bluetooth em andamento e obtenha controle total sobre o dispositivo. Essa vulnerabilidade afeta vários produtos e versões, colocando-os em risco de exploração. Recomenda-se aos usuários que atualizem para a versão mais recente para mitigar os riscos. A vulnerabilidade pode levar à execução remota de código. **Recomendações** Para as versões do Lush 2 até 25/02/2020, atualize para uma versão lançada após 25/02/2020 para mitigar o risco. Para o Tk-star nan, atualize para a versão mais recente para mitigar os riscos. Para produtos Epson, certifique-se de que seus sistemas estejam atualizados com o firmware mais recente para mitigar ameaças potenciais. Para o One2Track, atualize para a versão mais recente para mitigar os riscos. Para impressoras Brother, atualize para o firmware mais recente imediatamente para proteger seus dispositivos e desative serviços de rede desnecessários. Para o Svakom Nan, atualize para a versão mais recente para mitigar os riscos. Para o Loven nan, atualize para a versão mais recente e aplique todas as recomendações

**Nome do software vulnerável e versões afetadas** Alecto IVM-100 12/11/2019 Tk-star nan (versões afetadas não especificadas) Svakom Nan (versões afetadas não especificadas) Alecto nan (versões afetadas não especificadas) Loven nan (versões afetadas não especificadas) Produtos Sannce (versões afetadas não especificadas) Impressoras Brother (versões afetadas não especificadas) **Descrição** Foi descoberta uma vulnerabilidade no protocolo UDP personalizado usado pelos dispositivos para iniciar e controlar serviços de vídeo e áudio. O protocolo foi parcialmente submetido a engenharia reversa, revelando que nenhuma senha ou nome de usuário é transmitido por meio desse protocolo. Como resultado, é possível estabelecer sessões com o dispositivo pela Internet usando o UID codificado, uma vez que a autenticação ocorre no lado do cliente. **Recomendações** Para o Alecto IVM-100 2019-11-12, considere desativar o protocolo UDP personalizado até que uma correção esteja disponível. Para o Tk-star nan, atualize para a versão mais recente imediatamente para mitigar os riscos. Para o Svakom Nan, atualize para a versão mais recente imediatamente para mitigar os riscos. Para o Alecto nan, atualize para a versão mais recente para mitigar os riscos. Para o Loven nan, atualize para a versão mais recente para mitigar ameaças potenciais. Para produtos Sannce, atualize para o firmware mais recente e siga as melhores práticas de segurança. Para impressoras Brother, atualize para o firmware mais recente fornecido pela Brother para mitigar riscos. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade para alguns dos dispositivos afetados

**Nome do software vulnerável e versões afetadas** Alecto IVM-100 versão 2019-11-12 **Descrição** Foi detectada uma falha que leva à divulgação de uma grande quantidade de informações ao conectar-se à interface serial no nível da placa e reiniciar o dispositivo. Isso inclui a senha de visualização e a senha do ponto de acesso Wi-Fi utilizado pelo dispositivo. **Recomendações** Para o Alecto IVM-100 versão 2019-11-12, como solução temporária, considere restringir o acesso à interface serial no nível da placa até que uma correção esteja disponível. No entanto, no momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** One2Track versão 2019-12-08 **Descrição** Foi identificada uma falha pela qual não é possível configurar um PIN em nenhum cartão SIM utilizado com o dispositivo. Se um PIN for configurado, o dispositivo exibe a mensagem “Remova o PIN e reinicie!” e fica inutilizável, facilitando que um invasor utilize o cartão SIM após roubar o dispositivo. **Recomendações** Para a versão 2019-12-08 do One2Track, considere remover o PIN do cartão SIM para permitir que o dispositivo funcione, como uma solução temporária até que uma solução mais permanente esteja disponível. No entanto, isso não resolve o problema subjacente e os usuários são instados a atualizar para a versão mais recente o mais rápido possível para garantir a segurança de seus dispositivos. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Siime Eye versão 14.1.00000001.3.330.0.0.3.14 **Descrição** Foi descoberta uma falha no Siime Eye em que a senha do usuário root é hashada utilizando uma técnica de hash antiga e obsoleta. Devido a essa técnica de hash obsoleta, a probabilidade de sucesso de um invasor em um ataque de quebra de senha offline aumenta consideravelmente. **Recomendações** Para o Siime Eye versão 14.1.00000001.3.330.0.0.3.14, atualize para o firmware mais recente para mitigar o risco de exploração. Como solução temporária, considere restringir o acesso de rede ao dispositivo até que um patch esteja disponível.

**Nome do software vulnerável e versões afetadas** Siime Eye versão 14.1.00000001.3.330.0.0.3.14 **Descrição** Foi descoberta uma vulnerabilidade no Siime Eye, que utiliza um valor SSID padrão. Isso facilita que invasores remotos descubram as localizações físicas de muitos dispositivos Siime Eye, violando a privacidade dos usuários que não desejam revelar que possuem esse tipo de dispositivo. Vários recursos, como o wigle.net, podem ser usados para mapear SSIDs para localizações físicas. **Recomendações** Para resolver o problema, atualize o dispositivo Siime Eye para o firmware mais recente e aplique todos os patches de segurança recomendados. Certifique-se de que o dispositivo esteja configurado para usar um valor de SSID exclusivo em vez do padrão. Como solução temporária, considere desativar a funcionalidade sem fio do dispositivo até que um patch esteja disponível. Restrinja o acesso à rede do dispositivo para minimizar o risco de exploração. Evite usar recursos como o wigle.net para mapear SSIDs para locais físicos até que o problema seja resolvido. Observação: No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Siime Eye versão 14.1.00000001.3.330.0.0.3.14 **Descrição** Foi descoberta uma falha no Siime Eye em que informações sobre todos os usuários, incluindo senhas, podem ser encontradas em texto simples em um arquivo de backup criado por meio da interface web. Um invasor capaz de acessar a interface web pode criar o arquivo de backup. **Recomendações** Para o Siime Eye versão 14.1.00000001.3.330.0.0.3.14, como solução temporária, considere restringir o acesso à interface web para minimizar o risco de exploração. Além disso, evite usar o recurso de backup até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Siime Eye versão 14.1.00000001.3.330.0.0.3.14 **Descrição** Foi detectada uma falha no software, na qual não há proteção contra CSRF. Essa falha afeta vários produtos, incluindo Epson, Sannce, Svakom e Tk-star. No entanto, não são fornecidos detalhes específicos sobre as versões afetadas desses produtos. Para mitigar os riscos, recomenda-se atualizar o software para a versão mais recente e aplicar todos os patches disponíveis. **Recomendações** Para o Siime Eye versão 14.1.00000001.3.330.0.0.3.14, atualize o software para a versão mais recente a fim de mitigar o risco de exploração. Como solução temporária, considere implementar medidas de proteção contra CSRF até que um patch esteja disponível. Para outros produtos afetados, incluindo Epson, Sannce, Svakom e Tk-star, atualize para o firmware mais recente e aplique todos os patches recomendados para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Epson Expression Home XP255 versão 20.08.FM10I8 **Descrição** Foi descoberta uma falha em que as solicitações POST não exigem tokens anti-CSRF ou outros mecanismos para validar se a solicitação provém de uma fonte legítima. Isso permite que ataques CSRF sejam usados para enviar texto diretamente para a interface RAW da impressora, potencialmente gerando impressões indesejadas para os usuários finais. **Recomendações** Para a Epson Expression Home XP255 versão 20.08.FM10I8, considere desativar a capacidade de enviar solicitações POST para a interface da impressora até que uma correção esteja disponível. Restrinja o acesso à interface RAW da impressora para minimizar o risco de exploração. Atualize para o firmware mais recente assim que estiver disponível para mitigar este problema.

**Name of the Vulnerable Software and Affected Versions** Bluetens Electrostimulation Device BluetensQ device app version 4.3.15 **Description** The issue allows attackers to perform Man-in-the-middle attacks in the BLE channel, enabling them to decrease or increase the intensity of the stimulator by hijacking the BLE communication. **Recommendations** For version 4.3.15, consider restricting access to the BLE channel to minimize the risk of exploitation until a patch is available. As a temporary workaround, avoid using the BluetensQ device app for critical stimulation tasks. At the moment, there is no information about a newer version that contains a fix for this vulnerability.

**Nome do software vulnerável e versões afetadas** Câmera de segurança Wi-Fi Sannce Smart HD (versões afetadas não especificadas) **Descrição** Foi detectada uma vulnerabilidade nos dispositivos da câmera de segurança Wi-Fi Sannce Smart HD, na qual uma interface TELNET está disponível por padrão, embora não seja anunciada nem utilizada funcionalmente. Existem duas contas de backdoor, `root` e `default`, nessa interface, com os mesmos nomes de usuário e senhas em todos os dispositivos. Os invasores podem usar essas contas de backdoor para obter acesso e executar código como `root` dentro do dispositivo. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** WiZ Colors A60 versão 1.14.0 **Descrição** Foi detectada uma falha pela qual as credenciais de Wi-Fi são armazenadas em texto simples na memória flash. Isso representa um risco de divulgação de informações para dispositivos descartados ou revendidos. **Recomendações** Para o WiZ Colors A60 versão 1.14.0, considere atualizar para uma versão mais recente que armazene as credenciais de Wi-Fi de forma segura, a fim de mitigar o risco de divulgação de informações. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** WiZ Colors A60 versão 1.14.0 **Descrição** Foi detectada uma falha pela qual as credenciais da API são registradas localmente, o que pode expor informações confidenciais. **Recomendações** Para o WiZ Colors A60 versão 1.14.0, considere restringir o acesso às credenciais de API registradas localmente até que uma correção esteja disponível. Como solução temporária, revise e armazene com segurança ou remova quaisquer credenciais de API registradas localmente para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** WiZ Colors A60 versão 1.14.0 **Descrição** Foi detectada uma falha pela qual o dispositivo envia informações desnecessárias ao servidor controlador na nuvem, incluindo o endereço IP local e o SSID da rede Wi-Fi à qual está conectado. Embora essas informações sejam enviadas criptografadas, isso prejudica a privacidade do usuário final. O SSID enviado pode ser mapeado para localizações físicas usando recursos como o wigle.net. **Recomendações** Para o WiZ Colors A60 versão 1.14.0, considere restringir a capacidade do dispositivo de enviar essas informações desnecessárias ao servidor do controlador na nuvem como uma solução temporária até que uma correção esteja disponível. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Câmera de segurança Wi-Fi Sannce Smart HD EAN 2 950004 595317 (versões afetadas não especificadas) **Descrição** Foi detectada uma falha que permite o controle das funções de panorâmica/zoom/inclinação da câmera por meio do TELNET sem a necessidade de senha. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** SeTracker2 para o relógio GPS TK-Star Q90 Junior, versão 3.1042.9.8656 **Descrição** Foi detectada uma falha no software, na qual ele possui permissões desnecessárias, tais como `READ EXTERNAL STORAGE`, `WRITE EXTERNAL STORAGE` e `READ CONTACTS`. **Recomendações** Para a versão 3.1042.9.8656, considere restringir o uso de permissões desnecessárias para minimizar riscos potenciais até que um patch ou atualização esteja disponível.