Jeroen Hermans

Nome do Software Vulnerável e Versões Afetadas: Versões da API Yealink YMCS RPS anteriores a 2025-05-26 Descrição: O problema está relacionado à falta de limitação de taxa na API Yealink YMCS RPS, o que poderia potencialmente permitir a divulgação de informações por meio de requisições excessivas. Recomendações: Para versões anteriores a 2025-05-26, considere implementar limitação de taxa na API para prevenir requisições excessivas até que um patch esteja disponível.

Nome do Software Vulnerável e Versões Afetadas: Versões do Yealink YMCS anteriores a 2025-05-26 Descrição: A falha permite acesso não autorizado a interfaces desativadas devido à falta de prevenção de acesso à OpenAPI por contas corporativas congeladas. Recomendações: Para versões do Yealink YMCS anteriores a 2025-05-26, considere restringir o acesso à OpenAPI até que uma correção seja aplicada para prevenir acesso não autorizado por contas corporativas congeladas.

Nome do Software Vulnerável e Versões Afetadas: Versões do Yealink YMCS RPS anteriores a 2025-05-26 Descrição: A função de upload de certificados no Yealink YMCS RPS não valida adequadamente o conteúdo do certificado, permitindo potencialmente o upload de certificados inválidos. Recomendações: Para versões anteriores a 2025-05-26, atualize para uma versão lançada após 2025-05-26 para garantir a validação adequada do conteúdo do certificado.

Name of the Vulnerable Software and Affected Versions: Yealink YMCS RPS versions prior to 2025-06-04 Description: The issue is related to the lack of SN verification attempt limits, which enables brute-force enumeration of the last five digits. Recommendations: For versions prior to 2025-06-04, update to a version released after 2025-06-04 to include SN verification attempt limits and prevent brute-force enumeration.

**Nome do software vulnerável e versões afetadas** Versões do Paxton Net2 anteriores à 6.07.14023.5015 (SR4) **Descrição** A validação realizada no arquivo de licença da API REST é insuficiente, permitindo o uso da API REST com um arquivo de licença inválido. Isso permite que invasores possam recuperar dados de registros de acesso. Não há informações disponíveis sobre o número estimado de dispositivos potencialmente afetados em todo o mundo ou sobre incidentes reais em que essa vulnerabilidade tenha sido explorada. **Recomendações** Para versões anteriores à 6.07.14023.5015 (SR4), atualize para a versão 6.07.14023.5015 (SR4) ou posterior para resolver o problema. Como solução alternativa temporária, considere restringir o acesso à API REST até que a atualização seja aplicada.