Martijn Baalman

**Nome do software vulnerável e versões afetadas** Epson Expression Home XP255 versão 20.08.FM10I8 **Descrição** Foi descoberta uma falha em que as solicitações POST não exigem tokens anti-CSRF ou outros mecanismos para validar se a solicitação provém de uma fonte legítima. Isso permite que ataques CSRF sejam usados para enviar texto diretamente para a interface RAW da impressora, potencialmente gerando impressões indesejadas para os usuários finais. **Recomendações** Para a Epson Expression Home XP255 versão 20.08.FM10I8, considere desativar a capacidade de enviar solicitações POST para a interface da impressora até que uma correção esteja disponível. Restrinja o acesso à interface RAW da impressora para minimizar o risco de exploração. Atualize para o firmware mais recente assim que estiver disponível para mitigar este problema.

**Nome do software vulnerável e versões afetadas** Alecto IVM-100 12/11/2019 Tk-star nan (versões afetadas não especificadas) Svakom Nan (versões afetadas não especificadas) Alecto nan (versões afetadas não especificadas) Loven nan (versões afetadas não especificadas) Produtos Sannce (versões afetadas não especificadas) Impressoras Brother (versões afetadas não especificadas) **Descrição** Foi descoberta uma vulnerabilidade no protocolo UDP personalizado usado pelos dispositivos para iniciar e controlar serviços de vídeo e áudio. O protocolo foi parcialmente submetido a engenharia reversa, revelando que nenhuma senha ou nome de usuário é transmitido por meio desse protocolo. Como resultado, é possível estabelecer sessões com o dispositivo pela Internet usando o UID codificado, uma vez que a autenticação ocorre no lado do cliente. **Recomendações** Para o Alecto IVM-100 2019-11-12, considere desativar o protocolo UDP personalizado até que uma correção esteja disponível. Para o Tk-star nan, atualize para a versão mais recente imediatamente para mitigar os riscos. Para o Svakom Nan, atualize para a versão mais recente imediatamente para mitigar os riscos. Para o Alecto nan, atualize para a versão mais recente para mitigar os riscos. Para o Loven nan, atualize para a versão mais recente para mitigar ameaças potenciais. Para produtos Sannce, atualize para o firmware mais recente e siga as melhores práticas de segurança. Para impressoras Brother, atualize para o firmware mais recente fornecido pela Brother para mitigar riscos. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade para alguns dos dispositivos afetados

**Nome do software vulnerável e versões afetadas** Alecto IVM-100 versão 2019-11-12 **Descrição** Foi detectada uma falha que leva à divulgação de uma grande quantidade de informações ao conectar-se à interface serial no nível da placa e reiniciar o dispositivo. Isso inclui a senha de visualização e a senha do ponto de acesso Wi-Fi utilizado pelo dispositivo. **Recomendações** Para o Alecto IVM-100 versão 2019-11-12, como solução temporária, considere restringir o acesso à interface serial no nível da placa até que uma correção esteja disponível. No entanto, no momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Câmera de segurança Wi-Fi Sannce Smart HD EAN 2 950004 595317 (versões afetadas não especificadas) **Descrição** Foi detectada uma falha que permite o controle das funções de panorâmica/zoom/inclinação da câmera por meio do TELNET sem a necessidade de senha. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** WiZ Colors A60 versão 1.14.0 **Descrição** Foi detectada uma falha pela qual as credenciais de Wi-Fi são armazenadas em texto simples na memória flash. Isso representa um risco de divulgação de informações para dispositivos descartados ou revendidos. **Recomendações** Para o WiZ Colors A60 versão 1.14.0, considere atualizar para uma versão mais recente que armazene as credenciais de Wi-Fi de forma segura, a fim de mitigar o risco de divulgação de informações. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.