Martinzhou2015

**Name of the Vulnerable Software and Affected Versions** node-red-contrib-huemagic version 3.0.0 **Description** The issue allows remote attackers to gain sensitive information via a crafted request in the `res.sendFile` API in `hue-magic.js`. This is a Directory Traversal vulnerability, which can be exploited by sending a specifically designed request to the affected system. **Recommendations** For node-red-contrib-huemagic version 3.0.0, consider disabling the `res.sendFile` function in `hue-magic.js` until a patch is available to prevent potential exploitation. Restrict access to sensitive information and files to minimize the risk of unauthorized access.

**Name of the Vulnerable Software and Affected Versions** MrSwitch hello.js versions 1.18.6 through 1.18.7 **Description** A prototype pollution issue allows remote attackers to execute arbitrary code via the `hello.utils.extend` function. This enables attackers to manipulate the prototype chain, potentially leading to code execution. The estimated number of potentially affected devices worldwide is not specified. There is no information about real-world incidents where this issue was exploited. **Recommendations** For MrSwitch hello.js versions 1.18.6 through 1.18.7, update to version 1.18.8 or later to resolve the issue. As a temporary workaround, consider disabling the `hello.utils.extend` function until a patch is available. Restrict access to the `hello.utils.extend` function to minimize the risk of exploitation.

**Nome do software vulnerável e versões afetadas** Open5GS versão 2.1.3 **Descrição** O problema diz respeito à senha padrão da conta de administrador, que está definida como `1423`. O software escuta na porta `0.0.0.0:3000`. **Recomendações** Para o Open5GS versão 2.1.3, altere a senha padrão de administrador para uma senha forte e exclusiva, a fim de impedir o acesso não autorizado. Considere restringir o acesso à conta de administrador até que a senha seja alterada.

**Nome do software vulnerável e versões afetadas** node-red-contrib-huemagic versão 3.0.0 **Descrição** A vulnerabilidade permite o traversal de diretórios, possibilitando o acesso a arquivos arbitrários. Isso é feito por meio da API `res.sendFile` no arquivo hue-magic.js, utilizando o caminho `hue/assets/..%2F`. **Recomendações** Para a versão 3.0.0 do node-red-contrib-huemagic, considere desativar a API `res.sendFile` no arquivo hue-magic.js até que um patch esteja disponível. Restrinja o acesso ao arquivo hue-magic.js para minimizar o risco de exploração. Evite usar o caminho `hue/assets/..%2F` no endpoint da API afetada até que a vulnerabilidade seja resolvida.