Maurizio Ruchay

**Name of the Vulnerable Software and Affected Versions** SmartNode SN200 (aka SN200) version 3.21.2-23021 **Description** The issue is related to the Network Diagnostic Commands function of the SmartNode SN200 analog telephone adapter's firmware, which fails to neutralize special elements used in an operating system command. This allows for unauthenticated OS Command Injection, potentially enabling a remote attacker to impact the confidentiality, integrity, and availability of protected information. **Recommendations** For SmartNode SN200 version 3.21.2-23021, consider disabling the Network Diagnostic Commands function as a temporary workaround until a patch is available. Restrict access to the vulnerable function to minimize the risk of exploitation. At the moment, there is no information about a newer version that contains a fix for this vulnerability.

**Nome do software vulnerável e versões afetadas** Versões do PHP Event Calendar anteriores a 03/09/2021 **Descrição** A vulnerabilidade permite injeção de SQL, conforme demonstrado pelo endpoint “/server/ajax/user manager.php”, especificamente pelo parâmetro `username`. Isso pode ser usado para executar instruções SQL diretamente no banco de dados, permitindo potencialmente que um invasor comprometa o sistema de banco de dados ou contorne o formulário de login. **Recomendações** Para versões anteriores a 03/09/2021, atualize para uma versão lançada após 03/09/2021 para resolver o problema. Como solução temporária, considere restringir o acesso ao endpoint “/server/ajax/user manager.php” ou sanitizar o parâmetro `username` para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** PHP Event Calendar até 04/11/2021 **Descrição** A vulnerabilidade permite a execução persistente de scripts entre sites (XSS) e pode ser explorada por um invasor de várias maneiras, como realizar ações na página no contexto de outros usuários ou desfigurar o site. Isso é demonstrado pelo endpoint da API `/server/ajax/events manager.php`, especificamente pelo parâmetro `title`. **Recomendações** Para o Calendário de Eventos PHP até 04/11/2021, considere desativar o endpoint da API `/server/ajax/events manager.php` ou restringir o acesso ao parâmetro `title` até que uma correção esteja disponível. Como solução alternativa temporária, evite usar o parâmetro `title` no endpoint da API afetado para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** TTiny Java Web Server and Servlet Container (TJWS) versões <=1.115 **Descrição** Uma vulnerabilidade de cross-site scripting (XSS) refletido permite que um invasor injete código malicioso na página de erro “404 Página não encontrada” do servidor. Isso ocorre no servidor web TTiny Java Web Server and Servlet Container (TJWS). **Recomendações** Para versões <=1.115, atualize para uma versão superior a 1.115 para resolver o problema. Como solução temporária, considere restringir o acesso à página de erro “404 Página não encontrada” até que um patch esteja disponível.