Merhawi Solomon Gebrekidan

**Nome do software vulnerável e versões afetadas** MK-AUTH versão 19.01 **Descrição** Foi descoberta uma vulnerabilidade no MK-AUTH, que envolve problemas de injeção de SQL em vários scripts PHP, incluindo `arp.php`, `dhcp.php`, `hotspot.php`, `ip.php`, `pgaviso.php`, `pgcorte.php`, `pppoe.php`, `queues.php` e `wifi.php`. **Recomendações** Para a versão 19.01 do MK-AUTH, considere restringir o acesso aos scripts PHP vulneráveis até que um patch esteja disponível. Como solução temporária, evite usar dados inseridos pelo usuário em consultas SQL para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** MK-AUTH versão 19.01 **Descrição** Foi identificada uma falha que permite que um invasor execute código JavaScript arbitrário devido a vulnerabilidades XSS nos scripts de administração e do cliente. **Recomendações** Para a versão 19.01 do MK-AUTH, atualize para uma versão que inclua uma correção para as vulnerabilidades XSS nos scripts de administração e do cliente. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** MK-AUTH versão 19.01 **Descrição** Uma falha no MK-AUTH permite a execução de comandos como root por meio de metacaracteres de shell nos scripts de administração do /auth. **Recomendações** Para a versão 19.01 do MK-AUTH, considere restringir o acesso aos scripts de administração /auth como uma solução temporária até que um patch esteja disponível.

**Nome do software vulnerável e versões afetadas** Mk-Auth versão 19.01 **Descrição** O problema está relacionado à falta de proteção contra manipulação da estrutura SQL no componente central/executar login.php do software de autenticação Mk-Auth. Isso permite que um invasor remoto execute consultas SQL arbitrárias no banco de dados do sistema alvo enviando uma solicitação especialmente criada. A funcionalidade de login na web está vulnerável à injeção de SQL, permitindo que um invasor contorne a autenticação e obtenha privilégios de cliente. **Recomendações** Para a versão 19.01 do Mk-Auth, considere restringir temporariamente o acesso ao componente central/executar login.php até que um patch esteja disponível. Como medida de mitigação, evite usar dados inseridos pelo usuário diretamente em consultas SQL para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** MK-AUTH versão 19.01 **Descrição** O problema diz respeito a uma falha de autenticação na funcionalidade de login pela web. Isso se deve ao fato de as credenciais de acesso de administrador ao endpoint `admin/executar login.php` serem fáceis de adivinhar. A vulnerabilidade está relacionada a erros no tratamento dos dados de registro, o que pode permitir que um invasor remoto eleve seus privilégios. **Recomendações** Para a versão 19.01 do MK-AUTH, considere restringir o acesso ao endpoint `admin/executar login.php` até que uma correção esteja disponível. Como solução temporária, revise e fortaleça as credenciais usadas para o acesso de administrador, a fim de impedir que credenciais fáceis de adivinhar sejam exploradas.