Jeremy Chen

Nome do software vulnerável e versões afetadas: iota C.ai Conversational Platform, versões 1.0.0 a 2.1.3 Descrição: O problema está relacionado a uma vulnerabilidade de verificação inadequada da assinatura criptográfica no gerenciamento de plug-ins. Isso permite que usuários autenticados remotamente carreguem uma DLL maliciosa por meio da função de upload de plug-ins. O número estimado de dispositivos potencialmente afetados não foi especificado. Não há informações sobre incidentes reais em que essa vulnerabilidade tenha sido explorada. Os detalhes técnicos incluem o uso da `função de upload de plug-ins` para carregar uma DLL maliciosa. Recomendações: Para as versões 1.0.0 a 2.1.3, atualize para uma versão que inclua uma correção para a vulnerabilidade de verificação inadequada da assinatura criptográfica no gerenciamento de plug-ins. Como solução alternativa temporária, considere desativar a função de upload de plug-ins até que um patch esteja disponível. Restrinja o acesso ao módulo de gerenciamento de plug-ins para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** iota C.ai Conversational Platform, versões 1.0.0 a 2.1.3 **Descrição** Uma vulnerabilidade de injeção de código no gerenciamento de plug-ins da iota C.ai Conversational Platform permite que usuários remotos autenticados executem comandos de sistema arbitrários por meio de um arquivo DLL. Esse problema está relacionado ao controle inadequado da geração de código. **Recomendações** Para as versões 1.0.0 a 2.1.3, considere desativar o recurso de gerenciamento de plug-ins para impedir a exploração até que uma correção esteja disponível. Restrinja o acesso ao arquivo DLL para minimizar o risco de execução de comandos arbitrários do sistema.