Luis Miranda Acebedo

**Name of the Vulnerable Software and Affected Versions** Xiongmai XM530 IP cameras version V5.00.R02.000807D8.10010.346624.S.ONVIF 21.06 **Description** An authentication bypass issue exists in Xiongmai XM530 IP cameras. This allows unauthenticated remote attackers to access sensitive device information and live video streams. The ONVIF implementation does not enforce authentication on 31 critical endpoints, enabling direct unauthorized video stream access. **Recommendations** Update Xiongmai XM530 IP cameras to a version that addresses this authentication bypass. At the moment, there is no information about a newer version that contains a fix for this vulnerability.

**Nome do Software Vulnerável e Versões Afetadas** Câmeras IP Xiongmai XM530 versão V5.00.R02.000807D8.10010.346624.S.ONVIF 21.06 **Descrição** A função `GetStreamUri` expõe URIs RTSP que incluem credenciais embutidas no código, permitindo acesso não autorizado aos streams de vídeo diretos. O dispositivo afetado é uma câmera IP. **Recomendações** Atualize para uma versão de firmware mais recente que corrija este problema. Como medida temporária, restrinja o acesso de rede à câmera apenas a redes confiáveis.

**Nome do Software Vulnerável e Versões Afetadas** Netun Solutions HelpFlash IoT versão v18 178 221102 ASCII PRO 1R5 50 **Descrição** O processo de atualização de firmware over-the-air (OTA) no software não autentica corretamente os servidores de atualização nem valida as assinaturas de firmware, e depende de credenciais WiFi embutidas (hard-coded) que são consistentes em todos os dispositivos. Um atacante com acesso físico temporário pode iniciar o modo de atualização OTA pressionando um botão por oito segundos. Isso permite ao atacante estabelecer um ponto de acesso WiFi malicioso usando as credenciais conhecidas e entregar firmware nocivo através de HTTP não autenticado, potencialmente levando à execução arbitrária de código no dispositivo. O dispositivo é um equipamento de sinalização de emergência crítico para a segurança. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.