Katsunari Yoshioka

**Name of the Vulnerable Software and Affected Versions** NETGEAR (affected versions not specified) **Description** Certain end-of-service NETGEAR products feature a “TelnetEnable” functionality. This functionality permits a magic packet to activate the telnet service on the device, potentially leading to unauthorized access. **Recommendations** At the moment, there is no information about a newer version that contains a fix for this vulnerability.

**Nome do Software Vulnerável e Versões Afetadas** NEC Corporation Aterm WX1500HP versões 1.4.2 e anteriores NEC Corporation Aterm WX3600HP versões 1.5.3 e anteriores **Descrição** A vulnerabilidade permite que um atacante execute comandos arbitrários do sistema operacional via rede. Isso pode ser feito através da internet, potencialmente afetando uma ampla gama de dispositivos. **Recomendações** Para NEC Corporation Aterm WX1500HP versões 1.4.2 e anteriores, atualize para uma versão superior à 1.4.2 para resolver o problema. Para NEC Corporation Aterm WX3600HP versões 1.5.3 e anteriores, atualize para uma versão superior à 1.5.3 para resolver o problema. Como solução temporária, considere restringir o acesso de rede aos dispositivos até que uma correção esteja disponível.

**Name of the Vulnerable Software and Affected Versions** NEC Corporation Aterm WG2600HS versions 1.7.2 and earlier NEC Corporation Aterm WF1200CRS versions 1.6.0 and earlier NEC Corporation Aterm WG1200CRS versions 1.5.0 and earlier NEC Corporation Aterm GB1200PE versions 1.3.0 and earlier NEC Corporation Aterm WG2600HP4 versions 1.4.2 and earlier NEC Corporation Aterm WG2600HM4 versions 1.4.2 and earlier NEC Corporation Aterm WG2600HS2 versions 1.3.2 and earlier NEC Corporation Aterm WX3000HP versions 2.4.2 and earlier NEC Corporation Aterm WX4200D5 versions 1.2.4 and earlier **Description** The issue allows an attacker to obtain a Wi-Fi password via the network due to missing authentication for a critical function. **Recommendations** For NEC Corporation Aterm WG2600HS versions 1.7.2 and earlier, update to a version later than 1.7.2. For NEC Corporation Aterm WF1200CRS versions 1.6.0 and earlier, update to a version later than 1.6.0. For NEC Corporation Aterm WG1200CRS versions 1.5.0 and earlier, update to a version later than 1.5.0. For NEC Corporation Aterm GB1200PE versions 1.3.0 and earlier, update to a version later than 1.3.0. For NEC Corporation Aterm WG2600HP4 versions 1.4.2 and earlier, update to a version later than 1.4.2. For NEC Corporation Aterm WG2600HM4 versions 1.4.2 and earlier, update to a version later than 1.4.2. For NEC Corporation Aterm WG2600HS2 versions 1.3.2 and earlier, update to a version later than 1.3.2. For NEC Corporation Aterm WX3000HP versions 2.4.2 and earlier, update to a version later than 2.4.2. For NEC Corporation Aterm WX4200D5 versions 1.2.4 and earlier, update to a version later than 1.2.4.

**Nome do Software Vulnerável e Versões Afetadas** NEC Corporation Aterm WG2600HS versões 1.7.2 e anteriores NEC Corporation Aterm WG2600HP4 versões 1.4.2 e anteriores NEC Corporation Aterm WG2600HM4 versões 1.4.2 e anteriores NEC Corporation Aterm WG2600HS2 versões 1.3.2 e anteriores NEC Corporation Aterm WX3000HP versões 2.4.2 e anteriores NEC Corporation Aterm WX4200D5 versões 1.2.4 e anteriores **Descrição** Um problema de cross-site scripting permite que um atacante injete um script arbitrário via rede. Isso pode potencialmente levar a ações não autorizadas no sistema afetado. **Recomendações** Para o NEC Corporation Aterm WG2600HS versões 1.7.2 e anteriores, atualize para uma versão superior à 1.7.2 para resolver o problema. Para o NEC Corporation Aterm WG2600HP4 versões 1.4.2 e anteriores, atualize para uma versão superior à 1.4.2 para resolver o problema. Para o NEC Corporation Aterm WG2600HM4 versões 1.4.2 e anteriores, atualize para uma versão superior à 1.4.2 para resolver o problema. Para o NEC Corporation Aterm WG2600HS2 versões 1.3.2 e anteriores, atualize para uma versão superior à 1.3.2 para resolver o problema. Para o NEC Corporation Aterm WX3000HP versões 2.4.2 e anteriores, atualize para uma versão superior à 2.4.2 para resolver o problema. Para o NEC Corporation Aterm WX4200D5 versões 1.2.4 e anteriores, atualize para uma versão superior à 1.2.4 para resolver o problema.

Nome do software vulnerável e versões afetadas: Câmeras de rede PLANEX COMMUNICATIONS (versões afetadas não especificadas) Descrição: Existe uma vulnerabilidade de cross-site scripting na página de gerenciamento web das câmeras de rede. Se um usuário conectado acessar um arquivo específico, um script arbitrário poderá ser executado no navegador do usuário. Recomendações: No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** NEC Corporation Aterm WG1800HP4, WG1200HS3, WG1900HP2, WG1200HP3, WG1800HP3, WG1200HS2, WG1900HP, WG1200HP2, W1200EX(-MS), WG1200HS, WG1200HP, WF300HP2, W300P, WF800HP, WR8165N, WG2200HP, WF1200HP2, WG1800HP2, WF1200HP, WG600HP, WG300HP, WF300HP, WG1800HP, WG1400HP, WR8175N, WR9300N, WR8750N, WR8160N, WR9500N, WR8600N, WR8370N, WR8170N, WR8700N, WR8300N, WR8150N, WR4100N, WR4500N, WR8100N, WR8500N, CR2500P, WR8400N, WR8200N, WR1200H, WR7870S, WR6670S, WR7850S, WR6650S, WR6600H, WR7800H, WM3400RN, WM3450RN, WM3500R, WM3600R, WM3800R, WR8166N, MR01LN, MR02LN, WG1810HP(JE) e WG1810HP(MF) todas as versões **Descrição** A vulnerabilidade permite que um invasor execute um comando arbitrário do sistema operacional via internet devido ao uso de uma senha predefinida. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Aterm WG1800HP4, WG1200HS3, WG1900HP2, WG1200HP3, WG1800HP3, WG1200HS2, WG1900HP, WG1200HP2, W1200EX(-MS), WG1200HS, WG1200HP, WF300HP2, W300P, WF800HP, WR8165N, WG2200HP, WF1200HP2, WG1800HP2, WF1200HP, WG600HP, WG300HP, WF300HP, WG1800HP, WG1400HP, WR8175N, WR9300N, WR8750N, WR8160N, WR9500N, WR8600N, WR8370N, WR8170N, WR8700N, WR8300N, WR8150N, WR4100N, WR4500N, WR8100N, WR8500N, CR2500P, WR8400N, WR8200N, WR1200H, WR7870S, WR6670S, WR7850S, WR6650S, WR6600H, WR7800H, WM3400RN, WM3450RN, WM3500R, WM3600R, WM3800R, WR8166N, MR01LN, MR02LN, WG1810HP(JE) e WG1810HP(MF) todas as versões **Descrição** A vulnerabilidade permite que um invasor que tenha obtido privilégios elevados execute scripts arbitrários. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** NEC Corporation Aterm WG1800HP4, WG1200HS3, WG1900HP2, WG1200HP3, WG1800HP3, WG1200HS2, WG1900HP, WG1200HP2, W1200EX(-MS), WG1200HS, WG1200HP, WF300HP2, W300P, WF800HP, WR8165N, WG2200HP, WF1200HP2, WG1800HP2, WF1200HP, WG600HP, WG300HP, WF300HP, WG1800HP, WG1400HP, WR8175N, WR9300N, WR8750N, WR8160N, WR9500N, WR8600N, WR8370N, WR8170N, WR8700N, WR8300N, WR8150N, WR4100N, WR4500N, WR8100N, WR8500N, CR2500P, WR8400N, WR8200N, WR1200H, WR7870S, WR6670S, WR7850S, WR6650S, WR6600H, WR7800H, WM3400RN, WM3450RN, WM3500R, WM3600R, WM3800R, WR8166N, MR01LN, MR02LN, WG1810HP(JE) e WG1810HP(MF) todas as versões **Descrição** A vulnerabilidade está relacionada a um controle de acesso inadequado, permitindo que um invasor obtenha informações do dispositivo pela Internet. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** NEC Corporation Aterm WG1800HP4, WG1200HS3, WG1900HP2, WG1200HP3, WG1800HP3, WG1200HS2, WG1900HP, WG1200HP2, W1200EX(-MS), WG1200HS, WG1200HP, WF300HP2, W300P, WF800HP, WR8165N, WG2200HP, WF1200HP2, WG1800HP2, WF1200HP, WG600HP, WG300HP, WF300HP, WG1800HP, WG1400HP, WR8175N, WR9300N, WR8750N, WR8160N, WR9500N, WR8600N, WR8370N, WR8170N, WR8700N, WR8300N, WR8150N, WR4100N, WR4500N, WR8100N, WR8500N, CR2500P, WR8400N, WR8200N, WR1200H, WR7870S, WR6670S, WR7850S, WR6650S, WR6600H, WR7800H, WM3400RN, WM3450RN, WM3500R, WM3600R, WM3800R, WR8166N, MR01LN, MR02LN, WG1810HP(JE) e WG1810HP(MF) todas as versões **Descrição** O problema está relacionado a uma vulnerabilidade de autenticação inadequada que permite que um invasor execute um comando arbitrário com privilégios de root pela Internet. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** NEC Corporation Aterm WG1800HP4, WG1200HS3, WG1900HP2, WG1200HP3, WG1800HP3, WG1200HS2, WG1900HP, WG1200HP2, W1200EX(-MS), WG1200HS, WG1200HP, WF300HP2, W300P, WF800HP, WR8165N, WG2200HP, WF1200HP2, WG1800HP2, WF1200HP, WG600HP, WG300HP, WF300HP, WG1800HP, WG1400HP, WR8175N, WR9300N, WR8750N, WR8160N, WR9500N, WR8600N, WR8370N, WR8170N, WR8700N, WR8300N, WR8150N, WR4100N, WR4500N, WR8100N, WR8500N, CR2500P, WR8400N, WR8200N, WR1200H, WR7870S, WR6670S, WR7850S, WR6650S, WR6600H, WR7800H, WM3400RN, WM3450RN, WM3500R, WM3600R, WM3800R, WR8166N, MR01LN, MR02LN, WG1810HP(JE) e WG1810HP(MF) todas as versões **Descrição** A vulnerabilidade permite que um invasor execute um comando arbitrário do sistema operacional com privilégios de root via internet. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Impressoras FUJIFILM (versões afetadas não especificadas) **Descrição** Uma vulnerabilidade do tipo “Cross-Site Request Forgery” (CSRF) permite que um invasor remoto não autenticado altere informações do usuário. Se o usuário visado for um administrador, configurações como o ID do administrador, a senha etc. podem ser alteradas. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Impressoras e scanners Brother (versões afetadas não especificadas) **Descrição** Uma vulnerabilidade de falsificação de solicitação entre sites (CSRF) permite que um invasor remoto não autenticado execute operações indesejadas no produto afetado. A vulnerabilidade está presente em várias impressoras e scanners que implementam o sistema de gerenciamento baseado na Web fornecido pela BROTHER INDUSTRIES, LTD. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Produtos Brother (versões afetadas não especificadas) **Descrição** Existe uma vulnerabilidade de autenticação inadequada em várias impressoras e scanners que implementam o Gerenciamento Baseado na Web fornecido pela BROTHER INDUSTRIES, LTD. Essa vulnerabilidade pode ser explorada por um usuário na rede para se passar por um usuário administrativo. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Name of the Vulnerable Software and Affected Versions** FXC AE1021 firmware version 2.0.9 and earlier FXC AE1021PE firmware version 2.0.9 and earlier **Description** An OS command injection vulnerability exists, allowing an attacker who can log in to the product to execute arbitrary OS commands. The vulnerability is related to the lack of measures to neutralize special elements used in the OS command. Exploitation of this vulnerability may allow a remote attacker to execute arbitrary commands. New botnet malware has been found to exploit this flaw in routers. **Recommendations** For FXC AE1021 firmware version 2.0.9 and earlier, update to a version later than 2.0.9 to resolve the issue. For FXC AE1021PE firmware version 2.0.9 and earlier, update to a version later than 2.0.9 to resolve the issue. As a temporary workaround, consider restricting access to the product to minimize the risk of exploitation.

**Name of the Vulnerable Software and Affected Versions** T&D Corporation data logger products versions all firmware versions ESPEC MIC CORP. data logger products versions all firmware versions **Description** Cross-site request forgery (CSRF) allows a remote unauthenticated attacker to conduct an arbitrary operation by having a logged-in user view a malicious page. **Recommendations** For T&D Corporation data logger products, consider disabling access to the web interface until a patch is available. For ESPEC MIC CORP. data logger products, restrict access to the web interface to minimize the risk of exploitation. At the moment, there is no information about a newer version that contains a fix for this vulnerability.

**Name of the Vulnerable Software and Affected Versions** T&D Corporation data logger products (TR-71W/72W all firmware versions, RTR-5W all firmware versions, WDR-7 all firmware versions, WDR-3 all firmware versions, and WS-2 all firmware versions) ESPEC MIC CORP. data logger products (RT-12N/RS-12N all firmware versions, RT-22BN all firmware versions, and TEU-12N all firmware versions) **Description** A client-side enforcement of server-side security issue exists in T&D Corporation and ESPEC MIC CORP. data logger products, which may lead to an arbitrary script execution on a logged-in user's web browser. **Recommendations** For T&D Corporation data logger products (TR-71W/72W all firmware versions, RTR-5W all firmware versions, WDR-7 all firmware versions, WDR-3 all firmware versions, and WS-2 all firmware versions), consider disabling the web interface until a patch is available. For ESPEC MIC CORP. data logger products (RT-12N/RS-12N all firmware versions, RT-22BN all firmware versions, and TEU-12N all firmware versions), restrict access to the web interface to minimize the risk of exploitation. At the moment, there is no information about a newer version that contains a fix for this vulnerability.

**Name of the Vulnerable Software and Affected Versions** T&D Corporation data logger products versions TR-71W/72W all firmware versions, RTR-5W all firmware versions, WDR-7 all firmware versions, WDR-3 all firmware versions, and WS-2 all firmware versions ESPEC MIC CORP. data logger products versions RT-12N/RS-12N all firmware versions, RT-22BN all firmware versions, and TEU-12N all firmware versions **Description** Missing authentication for a critical function exists in the affected data logger products, which may allow a remote unauthenticated attacker to alter the product settings without authentication. **Recommendations** For T&D Corporation data logger products, consider disabling remote access to the critical function until a patch is available. For ESPEC MIC CORP. data logger products, restrict access to the product settings to minimize the risk of exploitation. At the moment, there is no information about a newer version that contains a fix for this vulnerability.

**Name of the Vulnerable Software and Affected Versions** T&D Corporation data logger products versions TR-71W/72W all firmware versions T&D Corporation data logger products versions RTR-5W all firmware versions T&D Corporation data logger products versions WDR-7 all firmware versions T&D Corporation data logger products versions WDR-3 all firmware versions T&D Corporation data logger products versions WS-2 all firmware versions ESPEC MIC CORP. data logger products versions RT-12N/RS-12N all firmware versions ESPEC MIC CORP. data logger products versions RT-22BN all firmware versions ESPEC MIC CORP. data logger products versions TEU-12N all firmware versions **Description** An improper authentication issue in T&D Corporation and ESPEC MIC CORP. data logger products allows a remote unauthenticated attacker to login to the product as a registered user. **Recommendations** For T&D Corporation data logger products versions TR-71W/72W all firmware versions, consider disabling remote access until a patch is available. For T&D Corporation data logger products versions RTR-5W all firmware versions, restrict access to the product to minimize the risk of exploitation. For T&D Corporation data logger products versions WDR-7 all firmware versions, avoid using default or weak passwords for registered users. For T&D Corporation data logger products versions WDR-3 all firmware versions, limit the number of login attempts to prevent brute-force attacks. For T&D Corporation data logger products versions WS-2 all firmware versions, implement additional authentication mechanisms, such as two-factor authentication. For ESPEC MIC CORP. data logger products versions RT-12N/RS-12N all firmware versions, consider changing default passwords and restricting access to the product. For ESPEC MIC CORP. data logger products versions RT-22BN all firmware versions, disable any unnecessary features or services that could be exploited. For ESPEC MIC CORP. data logger products versions TEU-12N all firmware versions, monitor user activity and login attempts to detect potential exploitation.

**Name of the Vulnerable Software and Affected Versions** SEIKO EPSON printers/network interface Web Config (affected versions not specified) **Description** A cross-site request forgery (CSRF) issue allows a remote unauthenticated attacker to hijack the authentication and perform unintended operations by having a logged-in user view a malicious page. Web Config is the software that allows users to check the status and change the settings of SEIKO EPSON printers/network interface via a web browser, also known as Remote Manager in some products. It is pre-installed in some printers/network interface provided by SEIKO EPSON CORPORATION. **Recommendations** At the moment, there is no information about a newer version that contains a fix for this vulnerability.

**Name of the Vulnerable Software and Affected Versions** SEIKO EPSON printers/network interface Web Config (affected versions not specified) **Description** A cross-site scripting vulnerability in SEIKO EPSON printers/network interface Web Config allows a remote authenticated attacker with administrative privilege to inject an arbitrary script. Web Config is a software that enables users to check the status and change the settings of SEIKO EPSON printers/network interface via a web browser. It is also known as Remote Manager in some products and is pre-installed in some printers/network interface provided by SEIKO EPSON CORPORATION. **Recommendations** At the moment, there is no information about a newer version that contains a fix for this vulnerability.