Lcyf-Fizz

Name of the Vulnerable Software and Affected Versions: riscv-boom SonicBOOM versions through 2.2.3 Description: A timing discrepancy exists in the L1 Data Cache Handler component of the software. This issue is considered problematic and requires local access for exploitation, which is described as difficult. The vendor was contacted regarding this disclosure but did not respond. Recommendations: At the moment, there is no information about a newer version that contains a fix for this vulnerability.

**Nome do Software Vulnerável e Versões Afetadas** TOTOLINK X2000R versão 1.0.0-B20230726.1108 **Descrição** O problema está relacionado a uma vulnerabilidade de cross-site scripting na Página de Servidor Virtual do roteador TOTOLINK X2000R. Esta vulnerabilidade pode ser explorada remotamente mediante a manipulação do argumento `service type`, permitindo que um atacante realize ataques de cross-site scripting. O exploit para este problema foi divulgado publicamente. **Recomendações** Para o TOTOLINK X2000R versão 1.0.0-B20230726.1108, como medida de contorno temporária, considere restringir o acesso à Página de Servidor Virtual ou desabilitar a manipulação do argumento `service type` até que um patch esteja disponível. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** TOTOLINK X2000R versão 1.0.0-B20230726.1108 **Descrição** Uma vulnerabilidade foi encontrada no componente da Página de Controle Parental do software afetado. O problema surge da manipulação do argumento `Device Name`, resultando em cross-site scripting. Isso pode ser explorado remotamente. **Recomendações** Para o TOTOLINK X2000R versão 1.0.0-B20230726.1108, como solução temporária, considere restringir o acesso à Página de Controle Parental até que um patch esteja disponível. Evite usar o argumento `Device Name` no componente afetado para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** TOTOLINK A3002RU versão 2.1.1-B20230720.1011 **Descrição** O problema está relacionado ao módulo de Filtragem de IP/Porta do firmware do roteador TOTOLINK A3002RU, onde o parâmetro `Comment` não é devidamente protegido, resultando em ataques de cross-site scripting (XSS). Isso pode ser explorado remotamente. O fabricante foi contatado sobre a divulgação, mas não respondeu. **Recomendações** Como solução alternativa temporária, considere desativar a Página de Filtragem de IP/Porta até que uma correção esteja disponível. Restrinja o acesso à Página de Filtragem de IP/Porta para minimizar o risco de exploração. Evite usar o argumento `Comment` na página afetada até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** TOTOLINK A3002RU versão 2.1.1-B20230720.1011 **Descrição** Uma vulnerabilidade foi encontrada no componente Página de Filtragem MAC do software afetado. O problema surge da manipulação do argumento `Comment`, levando a cross-site scripting. Isso pode ser explorado remotamente. O fabricante foi contatado sobre a divulgação, mas não respondeu. **Recomendações** Para o TOTOLINK A3002RU versão 2.1.1-B20230720.1011, como solução temporária, considere restringir o acesso à Página de Filtragem MAC ou desativar a funcionalidade que permite a manipulação do argumento `Comment` até que um patch esteja disponível. Evite usar o argumento `Comment` no componente afetado para minimizar o risco de exploração.

**Nome do Software Vulnerável e Versões Afetadas** TOTOLINK A3002RU versão 2.1.1-B20230720.1011 **Descrição** Uma vulnerabilidade foi identificada no componente Página de Mapeamento NAT do software afetado. O problema está relacionado à manipulação do argumento `Comment`, o que resulta em cross-site scripting. Esta vulnerabilidade pode ser explorada remotamente. O fabricante foi contatado sobre a divulgação, mas não respondeu. **Recomendações** Para o TOTOLINK A3002RU versão 2.1.1-B20230720.1011, como solução temporária, considere restringir o acesso à Página de Mapeamento NAT ou desabilitar a manipulação do argumento `Comment` até que uma correção esteja disponível. Evite utilizar o parâmetro `Comment` na página afetada para minimizar o risco de exploração. Atualmente, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** TOTOLINK X2000R versão 1.0.0-B20230726.1108 **Descrição** Existe uma vulnerabilidade crítica no roteador TOTOLINK X2000R relacionada à validação de entrada insuficiente ao processar o parâmetro `peerRptPin`. A exploração desta vulnerabilidade pode permitir que um atacante remoto execute código arbitrário enviando requisições POST especialmente elaboradas ao endpoint da API `/boafrm/formWsc`. A vulnerabilidade resulta em injeção de comandos. O exploit foi divulgado publicamente e pode ser utilizado. O fabricante foi contatado em relação a esta divulgação, mas não respondeu. **Recomendações** Para o TOTOLINK X2000R versão 1.0.0-B20230726.1108, atualmente, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** TOTOLINK A3002RU versão 2.1.1-B20230720.1011 **Descrição** Uma vulnerabilidade foi encontrada no componente Virtual Server Page, afetando especificamente o processamento do arquivo /boafrm/formPortFw. A manipulação do argumento `service type` resulta em cross-site scripting. Esta falha pode ser explorada remotamente. **Recomendações** Para o TOTOLINK A3002RU versão 2.1.1-B20230720.1011, como solução temporária, considere restringir o acesso ao componente Virtual Server Page até que um patch esteja disponível. Evite utilizar o argumento `service type` no endpoint de API afetado até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** TOTOLINK X2000R versão 1.0.0-B20230726.1108 **Descrição** Foi identificada uma vulnerabilidade no TOTOLINK X2000R, afetando uma parte desconhecida do arquivo /boafrm/formFilter do componente Página de Filtragem de URL. A manipulação do argumento `URL Address` resulta em cross-site scripting. É possível iniciar o ataque remotamente. O exploit foi divulgado ao público e pode ser utilizado. O fornecedor foi contatado previamente sobre esta divulgação, mas não respondeu. **Recomendações** Como solução alternativa temporária, considere desativar a Página de Filtragem de URL até que uma correção esteja disponível. Restrinja o acesso ao arquivo `/boafrm/formFilter` para minimizar o risco de exploração. Evite utilizar o argumento `URL Address` no endpoint da API afetado até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** TOTOLINK X2000R versão 1.0.0-B20230726.1108 **Descrição** Uma falha crítica foi encontrada no software, afetando alguma funcionalidade desconhecida do arquivo /boafrm/formMapDel. A manipulação do argumento `devicemac1` resulta em injeção de comandos. Esta vulnerabilidade pode ser explorada remotamente. **Recomendações** Para o TOTOLINK X2000R versão 1.0.0-B20230726.1108, como solução temporária, considere restringir o acesso ao arquivo /boafrm/formMapDel e evitar o uso do argumento `devicemac1` na funcionalidade afetada até que uma correção esteja disponível. Atualmente, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

Nome do Software Vulnerável e Versões Afetadas: D-Link DAP-2695 versão 120b36r137 ALL en 20210528 Descrição: Uma vulnerabilidade foi identificada no componente da Página de Prevenção de ARP Spoofing, especificamente no arquivo /adv arpspoofing.php. A manipulação do parâmetro `harp mac` resulta em cross-site scripting. O ataque pode ser executado remotamente. Este problema afeta produtos que não são mais suportados pelo mantenedor. Recomendações: Para o D-Link DAP-2695 versão 120b36r137 ALL en 20210528, como solução alternativa temporária, considere restringir o acesso ao arquivo /adv arpspoofing.php e evitar o uso do parâmetro `harp mac` na Página de Prevenção de ARP Spoofing até que uma correção esteja disponível. Atualmente, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

Nome do Software Vulnerável e Versões Afetadas: TOTOLINK A3002R versão 2.1.1-B20230720.1011 Descrição: Foi identificado um problema no componente da Página VPN do software afetado. A manipulação do argumento `Comment` resulta em cross-site scripting. Este problema pode ser explorado remotamente. Recomendações: Para o TOTOLINK A3002R versão 2.1.1-B20230720.1011, como solução temporária, considere restringir o acesso à Página VPN ou evitar o uso do argumento `Comment` neste contexto até que um patch esteja disponível.

Name of the Vulnerable Software and Affected Versions: D-Link DAP-2695 version 120b36r137 ALL en 20210528 Description: A vulnerability was found in the MAC Bypass Settings Page, specifically affecting the file /adv macbypass.php. The manipulation of the argument `f mac` leads to cross-site scripting. This issue can be exploited remotely. The vulnerability only affects products that are no longer supported by the maintainer. Recommendations: For D-Link DAP-2695 version 120b36r137 ALL en 20210528, as a temporary workaround, consider disabling access to the /adv macbypass.php file until a patch is available. Restrict the use of the `f mac` argument in the MAC Bypass Settings Page to minimize the risk of exploitation. At the moment, there is no information about a newer version that contains a fix for this vulnerability.

**Nome do Software Vulnerável e Versões Afetadas** D-Link DAP-2695 versão 120b36r137 ALL en 20210528 **Descrição** Uma vulnerabilidade foi encontrada no componente da Página de Configurações do Pool Estático, especificamente no arquivo /adv dhcps.php. A manipulação do argumento `f mac` resulta em cross-site scripting. É possível lançar o ataque remotamente. O exploit foi divulgado ao público e pode ser utilizado. Outros parâmetros também podem estar afetados. Este problema afeta apenas produtos que não são mais suportados pelo mantenedor. **Recomendações** Como solução temporária, considere desabilitar o argumento `f mac` no arquivo /adv dhcps.php até que um patch esteja disponível. Restrinja o acesso à Página de Configurações do Pool Estático para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** TOTOLINK N150RT versão 3.4.0-B20190525 **Descrição** Foi identificada uma falha no componente da Página de Filtragem de URL, permitindo a execução de cross-site scripting através de manipulação remota. O exploit foi divulgado publicamente. **Recomendações** Para o TOTOLINK N150RT versão 3.4.0-B20190525, considere restringir o acesso à Página de Filtragem de URL como uma medida de contorno temporária até que um patch esteja disponível. Evite utilizar a Página de Filtragem de URL remotamente para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para este problema.

**Nome do Software Vulnerável e Versões Afetadas** TOTOLINK N150RT versão 3.4.0-B20190525 **Descrição** Uma vulnerabilidade foi identificada no componente Virtual Server Page, resultando em cross-site scripting. O ataque pode ser realizado remotamente e o exploit foi divulgado publicamente. **Recomendações** Como solução temporária, considere restringir o acesso ao componente Virtual Server Page até que um patch esteja disponível. Atualmente, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** TOTOLINK N150RT versão 3.4.0-B20190525 **Descrição** Uma vulnerabilidade crítica foi encontrada no TOTOLINK N150RT, afetando algum processamento desconhecido do arquivo /boafrm/formWsc. A manipulação do argumento `localPin` leva a um estouro de buffer. O ataque pode ser iniciado remotamente. O exploit foi divulgado ao público e pode ser utilizado. **Recomendações** Como solução temporária, considere restringir o acesso ao arquivo /boafrm/formWsc até que um patch esteja disponível. Evite manipular o argumento `localPin` no arquivo afetado para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Name of the Vulnerable Software and Affected Versions** GNU Binutils versions up to 2.44 **Description** A critical issue was found in GNU Binutils, affecting the `elf gc sweep` function of the `ld` component. This issue leads to memory corruption and can be exploited locally. The exploit has been disclosed publicly and may be used. **Recommendations** For GNU Binutils versions up to 2.44, upgrade to version 2.45 to address this issue. As a temporary workaround, consider disabling the `elf gc sweep` function until a patch is available. Restrict access to the `bfd/elflink.c` file to minimize the risk of exploitation. Avoid using the affected `ld` component until the issue is resolved.

**Nome do Software Vulnerável e Versões Afetadas** TOTOLINK N150RT versão 3.4.0-B20190525 **Descrição** Uma vulnerabilidade foi identificada no componente da Página de Configurações da LAN, especificamente no arquivo /boafrm/fromStaticDHCP. A manipulação do argumento `Hostname` resulta em cross-site scripting. O ataque pode ser executado remotamente. **Recomendações** Para a versão 3.4.0-B20190525, considere restringir o acesso ao arquivo /boafrm/fromStaticDHCP para minimizar o risco de exploração. Evite utilizar o argumento `Hostname` na Página de Configurações da LAN afetada até que o problema seja resolvido. Atualmente, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** TOTOLINK N150RT versão 3.4.0-B20190525 **Descrição** Foi identificada uma falha, afetando uma função desconhecida do arquivo /home.htm do componente de Filtragem de Porta IP. A manipulação do argumento `Comment` resulta em cross-site scripting. Esta falha pode ser explorada remotamente. **Recomendações** Para o TOTOLINK N150RT versão 3.4.0-B20190525, como medida de contorno temporária, considere restringir o acesso ao componente de Filtragem de Porta IP para minimizar o risco de exploração. Evite utilizar o argumento `Comment` no componente afetado até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.