Manjyot Singh

Name of the Vulnerable Software and Affected Versions Kaleris YMS version 7.2.2.1 Description Controle de acesso incorreto no Kaleris YMS versão 7.2.2.1 permite que atacantes autenticados com apenas a função de envio/recebimento visualizem os recursos do painel do caminhão. Recommendations Até o momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

Name of the Vulnerable Software and Affected Versions Kaleris YMS versão 7.2.2.1 Description Uma falha existe no processo de login do Kaleris YMS versão 7.2.2.1, permitindo que invasores contornem as verificações de login e obtenham acesso não autorizado aos recursos do aplicativo. Recommendations Atualize para uma versão mais recente que resolva este problema de bypass de login.

**Nome do Software Vulnerável e Versões Afetadas** DPMAdirektPro versão 4.1.5 **Descrição** A vulnerabilidade permite a técnica de DLL Hijacking ao posicionar uma DLL maliciosa em um diretório, que é então carregada pela aplicação em vez da DLL legítima. Isso resulta no carregamento da DLL maliciosa com os mesmos privilégios da aplicação, causando um escalonamento de privilégios. **Recomendações** Para o DPMAdirektPro versão 4.1.5, considere restringir o acesso aos diretórios onde a aplicação carrega DLLs para prevenir o carregamento de DLLs maliciosas. Como medida temporária (workaround), assegure-se de que todas as DLLs legítimas necessárias estejam presentes nos diretórios esperados para minimizar o risco de exploração.

**Nome do Software Vulnerável e Versões Afetadas** Mettler Toledo FreeWeight.Net Web Reports Viewer versão 8.4.0 (440) **Descrição** Foi identificada uma vulnerabilidade de cross-site scripting (XSS refletido), permitindo que um atacante injete scripts maliciosos por meio do parâmetro `IW SessionID `. Isso possibilita a execução de código não autorizado no navegador da vítima. **Recomendações** Para o Mettler Toledo FreeWeight.Net Web Reports Viewer versão 8.4.0 (440), considere restringir o acesso ao parâmetro `IW SessionID ` para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** Smart Toilet Lab - Motius versão 1.3.11 **Descrição** O problema está relacionado ao Smart Toilet Lab - Motius executando com o modo de depuração ativado, o que expõe informações sensíveis definidas no arquivo de configurações do Django através de uma página de erro detalhada. Isso ocorre porque o modo `DEBUG` está definido como `True`. **Recomendações** Para a versão 1.3.11, defina `DEBUG` como `False` para prevenir a exposição de informações sensíveis através de páginas de erro detalhadas. Como solução temporária, considere restringir o acesso às páginas de erro até que o problema seja resolvido.

**Nome do Software Vulnerável e Versões Afetadas** Canlineapp Online versão 1.1 **Descrição** O problema refere-se a verificações de autorização inadequadas, permitindo que usuários com a função `Auditor` criem um modelo de auditoria, recurso destinado à função `supervisor`. Isso resulta de uma falha no controle de acesso, o que permite que auditores criem modelos de auditoria com sucesso a partir de suas contas. **Recomendações** Para o Canlineapp Online versão 1.1, considere restringir a função `create audit template` apenas à função `supervisor` como uma medida de contorno temporária até que uma correção esteja disponível. Restrinja o acesso ao recurso de criação de modelo de auditoria para usuários com a função `Auditor` para minimizar o risco de exploração.