Lassi Korhonen

**Nome do Software Vulnerável e Versões Afetadas** Versões do firmware do DBLTek GoIP-1 até e incluindo a GHSFVT-1.1-67-5 **Descrição** O firmware do dispositivo GoIP-1 contém uma vulnerabilidade de inclusão de arquivo local. O servidor web expõe os manipuladores `frame.html` e `frame.A100.html`, que aceitam um parâmetro de caminho (`content` ou `sidebar`) sem a devida validação. Isso permite que um atacante utilize sequências de traversal de diretório para ler arquivos arbitrários acessíveis ao usuário do servidor web. A Shadowserver Foundation observou a exploração desta vulnerabilidade em 2024-03-21 UTC. **Recomendações** Versões anteriores à GHSFVT-1.1-67-5 devem ser usadas.