Jose Antonio Pérez Piedra

**Nome do software vulnerável e versões afetadas** Dispositivos Wavlink WN575A4 e WN579X3 até 15/05/2020 **Descrição** A vulnerabilidade permite que usuários remotos não autenticados injetem comandos por meio do parâmetro `key` em um endpoint da API de “solicitação de login”. **Recomendações** Para dispositivos Wavlink WN575A4 e WN579X3 até 15/05/2020, evite usar o parâmetro `key` na solicitação de login afetada até que o problema seja resolvido. Restrinja o acesso à funcionalidade de login para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas: Versões do Helpdesk da QNAP Systems Inc. anteriores à 3.0.3 Descrição: O problema está relacionado a um controle de acesso inadequado, o que poderia permitir que invasores comprometessem a segurança do software ao obter privilégios ou acessar informações confidenciais. Se explorada, essa vulnerabilidade também poderia permitir que invasores assumissem o controle de um dispositivo QNAP. Recomendações: Para versões anteriores à 3.0.3, atualize para a versão 3.0.3 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso a informações confidenciais e privilégios para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Versões do X-Plane anteriores à 11.41 **Descrição** A vulnerabilidade permite a gravação arbitrária de memória por meio de pacotes de rede maliciosos, o que pode causar uma negação de serviço ou a execução arbitrária de código. **Recomendações** Para versões anteriores à 11.41, atualize para a versão 11.41 ou posterior para resolver o problema.

**Nome do software vulnerável e versões afetadas** Versões do X-Plane anteriores à 11.41 **Descrição** O problema está relacionado a várias validações inadequadas de caminhos, o que poderia permitir a leitura e gravação de arquivos de/para caminhos arbitrários, ou o vazamento de credenciais do sistema operacional para um sistema remoto, por meio de pacotes de rede maliciosos. Isso poderia ser usado para executar comandos arbitrários no sistema. **Recomendações** Para versões anteriores à 11.41, atualize para a versão 11.41 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso de rede ao sistema até que a atualização seja aplicada.

**Name of the Vulnerable Software and Affected Versions** OpenVPN versions through 2.4.5 **Description** A cross-protocol scripting issue was discovered in the management interface of OpenVPN. When this interface is enabled over TCP without a password and no other clients are connected, attackers can execute arbitrary management commands, obtain sensitive information, or cause a denial of service (SIGTERM) by triggering XMLHttpRequest actions in a web browser. This can be demonstrated by a multipart/form-data POST to "http://localhost:23000" with a "signal SIGTERM" command in a `TEXTAREA` element. The vendor disputes this as a vulnerability, stating it is the result of improper configuration rather than an intrinsic vulnerability. **Recommendations** For OpenVPN versions through 2.4.5, consider disabling the management interface over TCP without a password as a temporary workaround until a more secure configuration can be implemented. Restrict access to the management interface to minimize the risk of exploitation. Avoid using the management interface without proper authentication and authorization mechanisms in place. At the moment, there is no information about a newer version that contains a fix for this vulnerability.