Johnjhacking

**Nome do software vulnerável e versões afetadas** Versões 2.2.7 e anteriores do XenForo **Descrição** Um agente mal-intencionado com acesso ao painel de administração pode criar um novo anúncio por meio da função de publicidade e salvar uma carga XSS no corpo do documento HTML. Essa carga será executada globalmente no lado do cliente. **Recomendações** Para as versões 2.2.7 e anteriores do XenForo, como solução temporária, considere desativar a função de publicidade até que uma correção esteja disponível. Restrinja o acesso ao painel de administração para minimizar o risco de exploração. Evite usar a função de publicidade para salvar documentos HTML que possam conter cargas maliciosas até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Série de Smart TVs Android da TCL V8-R851T02-LF1, versões V295 e anteriores Série de Smart TVs Android da TCL V8-T658T01-LF1, versões V373 e anteriores **Descrição** Uma vulnerabilidade na série de Smart TVs Android da TCL permite que um invasor na rede adjacente navegue e baixe arbitrariamente arquivos confidenciais por meio de um servidor web não seguro em execução na porta 7989, que lista todos os arquivos e diretórios. Um invasor remoto sem privilégios na rede adjacente pode baixar a maioria dos arquivos do sistema, levando à divulgação grave de informações críticas. Alguns modelos de TV e/ou versões de firmware podem expor o servidor web com todo o sistema de arquivos acessível em outra porta. **Recomendações** Para a série de Smart TVs Android da TCL V8-R851T02-LF1, versões V295 e anteriores: como solução temporária, considere desativar o acesso ao servidor web não seguro em execução na porta 7989 até que uma correção esteja disponível. Para as Smart TVs Android da TCL da série V8-T658T01-LF1, versões V373 e anteriores: restrinja o acesso ao servidor web para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Série de Smart TVs Android da TCL V8-R851T02-LF1, versões V295 e anteriores Série de Smart TVs Android da TCL V8-T658T01-LF1, versões V373 e anteriores **Descrição** Um invasor local sem privilégios, como um aplicativo malicioso, pode ler e gravar nos diretórios `/data/vendor/tcl`, `/data/vendor/upgrade` e `/var/TerminalManager` dentro do sistema de arquivos da TV. Isso permite que um invasor, como um APK malicioso ou um usuário local sem privilégios, realize atualizações falsas do sistema gravando na pasta `/data/vendor/upgrade`. **Recomendações** Para a série de Smart TVs Android TCL V8-R851T02-LF1, versões V295 e anteriores: considere restringir o acesso aos diretórios `/data/vendor/tcl`, `/data/vendor/upgrade` e `/var/TerminalManager` para impedir operações de leitura e gravação não autorizadas. Para as séries de Smart TVs Android da TCL V8-T658T01-LF1, versões V373 e anteriores: considere restringir o acesso aos diretórios `/data/vendor/tcl`, `/data/vendor/upgrade` e `/var/TerminalManager` para impedir operações de leitura e gravação não autorizadas. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.