Jiraput Thamsongkrah

**Name of the Vulnerable Software and Affected Versions** HP Deskjet 2540 series printer Firmware Version CEP1FN1418BR **Description** The issue allows an authenticated attacker to inject their own script into the page via the HTTP configuration page, which is a Cross Site Scripting (XSS) problem. This only affects products that are no longer supported by the maintainer. **Recommendations** For HP Deskjet 2540 series printer Firmware Version CEP1FN1418BR, as a temporary workaround, consider restricting access to the HTTP configuration page until a solution is available. At the moment, there is no information about a newer version that contains a fix for this vulnerability.

**Nome do software vulnerável e versões afetadas: SKYWORTH GN542VF Versão de hardware 2.0 e versão de software 2.0.0.16 SKYWORTH GN542VF Boa versão 0.94.13 Descrição: O problema está relacionado ao fato de o cookie de sessão em uma sessão HTTPS não ter o sinalizador Secure definido, facilitando que invasores remotos capturem esse cookie ao interceptar sua transmissão dentro de uma sessão HTTP. Recomendações: Para o SKYWORTH GN542VF, versão de hardware 2.0 e versão de software 2.0.0.16, considere atualizar o software para uma versão que defina o sinalizador Secure para o cookie de sessão. Para o SKYWORTH GN542VF versão Boa 0.94.13, considere atualizar a versão Boa para uma que defina corretamente o sinalizador Secure para o cookie de sessão. Como solução alternativa temporária, considere restringir o acesso a informações confidenciais transmitidas por meio de sessões HTTP até que o problema seja resolvido.

**Nome do software vulnerável e versões afetadas: SKYWORTH GN542VF, versão de hardware 2.0 e versão de software 2.0.0.16 Descrição: A vulnerabilidade permite que um invasor autenticado injete seu próprio script na página de configuração por meio da seção de configuração DDNS. Trata-se de uma vulnerabilidade de Cross Site Scripting (XSS). Recomendações: Para o SKYWORTH GN542VF, versão de hardware 2.0 e versão de software 2.0.0.16, considere restringir o acesso à seção de configuração do DDNS até que uma correção esteja disponível. Como solução temporária, evite usar a página de configuração para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para este problema.

**Nome do software vulnerável e versões afetadas: TOTOLINK-A702R-V1.0.0-B20161227.1023 Descrição: A vulnerabilidade permite que um invasor acesse os diretórios `/icons/` por meio de um parâmetro GET. Isso está relacionado à indexação de diretórios no portal de login. Recomendações: Para o TOTOLINK-A702R-V1.0.0-B20161227.1023, restrinja o acesso ao diretório `/icons/` para minimizar o risco de exploração. Evite usar o parâmetro GET para acessar diretórios confidenciais até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.