Konrad Leszczynski

**Nome do software vulnerável e versões afetadas** Brother MFC-J491DW versão C1806180757 **Descrição** Foi descoberta uma falha pela qual o hash da senha da interface web da impressora pode ser recuperado sem autenticação. Isso ocorre porque o cabeçalho de resposta de qualquer tentativa de login malsucedida retorna um cookie de autorização incompleto, que é o hash MD5 da senha em hexadecimal. Um invasor pode derivar o hash MD5 verdadeiro e usar ataques de quebra de senha offline para obter acesso administrativo ao dispositivo. **Recomendações** Para a Brother MFC-J491DW versão C1806180757, atualize o firmware para a versão mais recente disponível para mitigar o risco de exploração. Como solução temporária, considere restringir o acesso à interface web até que a atualização seja aplicada.

**Nome do software vulnerável e versões afetadas** Epson Expression Home XP255 versão 20.08.FM10I8 **Descrição** Foi detectada uma falha pela qual o dispositivo é fornecido sem senha e o usuário não é solicitado a definir uma, permitindo que qualquer pessoa acesse o painel de administração web e assuma o papel de administrador sem precisar de credenciais. **Recomendações** Para a Epson Expression Home XP255 versão 20.08.FM10I8, considere definir uma senha para o dispositivo a fim de impedir o acesso não autorizado ao painel de administração web. Como solução temporária, restrinja o acesso ao painel de administração web até que uma correção esteja disponível. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Epson Expression Home XP255 versão 20.08.FM10I8 **Descrição** Foi detectada uma falha que permite a leitura de todos os valores com a comunidade pública SNMPv1; além disso, com a comunidade epson, todos os valores modificáveis podem ser gravados/atualizados. Isso pode ser demonstrado desativando permanentemente a placa de rede ou alterando os servidores DNS. **Recomendações** Para a Epson Expression Home XP255 versão 20.08.FM10I8, considere desativar a comunidade pública SNMPv1 e restringir o acesso à comunidade epson para minimizar o risco de exploração. Atualize para o firmware mais recente e aplique todos os patches de segurança recomendados para mitigar os riscos.

**Nome do software vulnerável e versões afetadas** Luvion Grand Elite 3 Connect até 25/02/2020 **Descrição** Foi descoberta uma vulnerabilidade que permite que clientes se autentiquem no dispositivo usando um `nome de usuário` e uma `senha`. Essas credenciais podem ser obtidas por meio de uma solicitação web não autenticada, como para um arquivo JavaScript. As informações divulgadas também incluem o SSID e a chave WPA2 da rede Wi-Fi à qual o dispositivo está conectado. **Recomendações** Para o Luvion Grand Elite 3 Connect até 25/02/2020, considere desativar o uso de `username` e `password` para autenticação até que uma correção esteja disponível. Restrinja o acesso a informações confidenciais, como o SSID e a chave WPA2, para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.