Metadata

**Name of the Vulnerable Software and Affected Versions** AnaSystem SensMini M4 (affected versions not specified) **Description** The issue allows an authenticated user to cause a Denial of Service for the device using the configuration tool. **Recommendations** At the moment, there is no information about a newer version that contains a fix for this vulnerability.

**Name of the Vulnerable Software and Affected Versions** Switch (affected versions not specified) **Description** The issue concerns an unspecified endpoint in the switch's web server that fails to properly authenticate user identity. This may allow an attacker to download a configuration page containing the switch's password in clear text. **Recommendations** At the moment, there is no information about a newer version that contains a fix for this vulnerability.

**Name of the Vulnerable Software and Affected Versions** EXFO BV-10 Performance Endpoint Unit (affected versions not specified) **Description** The issue concerns an undocumented hard-coded privileged user in the EXFO BV-10 Performance Endpoint Unit. This means that there is a user account with elevated privileges that is not documented, potentially allowing unauthorized access to the unit. **Recommendations** At the moment, there is no information about a newer version that contains a fix for this vulnerability.

**Name of the Vulnerable Software and Affected Versions** EXFO - BV-10 Performance Endpoint Unit (affected versions not specified) **Description** The issue concerns a misconfiguration in the EXFO - BV-10 Performance Endpoint Unit, specifically with the system configuration file having misconfigured permissions. **Recommendations** At the moment, there is no information about a newer version that contains a fix for this vulnerability.

**Name of the Vulnerable Software and Affected Versions** EXFO BV-10 Performance Endpoint Unit (affected versions not specified) **Description** The issue allows a user to manually manipulate access, enabling an authentication bypass. This means that an individual can potentially gain unauthorized access to the system by exploiting this weakness. **Recommendations** At the moment, there is no information about a newer version that contains a fix for this vulnerability.

**Name of the Vulnerable Software and Affected Versions** Alotcer - AR7088H-A firmware version 16.10.3 **Description** The issue concerns an information disclosure where an unspecified error message contains the default administrator user name. **Recommendations** For Alotcer - AR7088H-A firmware version 16.10.3, consider changing the default administrator user name as a temporary mitigation measure. At the moment, there is no information about a newer version that contains a fix for this issue.

**Name of the Vulnerable Software and Affected Versions** Alotcer - AR7088H-A firmware version 16.10.3 **Description** The issue is related to improper validation of an unspecified input field, which may allow authenticated command execution. **Recommendations** For Alotcer - AR7088H-A firmware version 16.10.3, consider restricting access to the device until a patch is available, and avoid using unspecified input fields that may be vulnerable to command execution. At the moment, there is no information about a newer version that contains a fix for this vulnerability.

**Nome do software vulnerável e versões afetadas** D-Link - G integrated Access Device4 (versões afetadas não especificadas) **Descrição** O problema diz respeito à divulgação de informações e à contornagem de autorização. Envolve um arquivo que contém uma URL com um endereço IP privado e o nome de usuário padrão “admin” no arquivo “login.asp”. A interface web não valida corretamente as variáveis de identidade do usuário, como `login glag` e `login status`, permitindo o acesso sem a verificação adequada. Isso possibilita a leitura das credenciais do usuário administrador. A vulnerabilidade pode ser explorada acessando a URL “setupWizard.asp”. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Versões do Proscend M330-w Versões do Proscend M330-W5 Versões do Proscend M350-5G Versões do Proscend M350-W5G Versões do Proscend M350-6 Versões do Proscend M350-W6 Versões do Proscend M301-G Versões do Proscend M301-GW Versões do Proscend ICR 111WG **Descrição** O problema está relacionado à falta de medidas para neutralizar elementos especiais usados no comando do sistema operacional, o que pode permitir que um invasor remoto execute comandos arbitrários. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Roteador ALLNET modelo WR0500AC (versões afetadas não especificadas) **Descrição** A página web “wizardpwd.asp” está sujeita a uma falha de contorno de autorização, na qual a senha “admin” permite alterar o endereço http[s]://wizardpwd.asp/cgi-bin sem validar a identidade do usuário, tornando-a acessível publicamente. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Cellinx Camera (versões afetadas não especificadas) **Descrição** A vulnerabilidade permite que um invasor com acesso à web eleve seus privilégios de usuário convidado para administrador ao modificar valores específicos de cookies, incluindo `is admin` e `showConfig`, possibilitando alterações em várias configurações da câmera. **Recomendações** Para a Cellinx Camera, considere desativar o acesso de convidado até que uma correção esteja disponível para impedir a escalada de privilégios. Como solução alternativa temporária, restrinja as modificações nas configurações da câmera para minimizar o risco de exploração. Evite usar os valores de cookie `is admin` e `showConfig` no endpoint da API afetado até que o problema seja resolvido.

**Nome do software vulnerável e versões afetadas** Não há menção a nenhum software ou versão específica nas descrições fornecidas. **Descrição** A vulnerabilidade permite que um usuário remoto leia arquivos no sistema operacional da câmera usando “GetFileContent.cgi”. Isso possibilita a leitura de arquivos arbitrários no sistema operacional da câmera como usuário root. Não há informações sobre o número estimado de dispositivos potencialmente afetados em todo o mundo ou sobre incidentes reais em que essa vulnerabilidade tenha sido explorada. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Não há menção a nenhum software ou versão específica nas descrições fornecidas. **Descrição** A listagem de diretórios é uma função do servidor web que exibe o conteúdo de um diretório quando não há um arquivo de índice em um diretório específico do site. Isso fornece ao invasor o índice completo de todos os recursos localizados dentro do diretório. Os riscos e consequências específicos variam dependendo dos arquivos listados e acessíveis. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Versões dos produtos da empresa: update i90 cv2.021 b20210104, update i50 v1.0.55 b20200509, update x6 v2.1.2 b202001127, update b5 v2.0.9 b20200706 **Descrição** Este problema afeta os produtos da empresa, possibilitando a extração de senhas de usuários existentes a partir do firmware em seus sistemas operacionais. **Recomendações** Para as versões update i90 cv2.021 b20210104, update i50 v1.0.55 b20200509, update x6 v2.1.2 b202001127, update b5 v2.0.9 b20200706, no momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Software (versões afetadas não especificadas) **Descrição** O sistema permite a visualização não autorizada de nomes de usuário e senhas, possibilitando o acesso ao sistema. A vulnerabilidade pode ser explorada através do endpoint da API “http://api/sys username passwd.cmd”. Além disso, informações de crédito codificadas e uma senha de superusuário são divulgadas no código JS enviado aos clientes no arquivo Login.js. O nome de usuário divulgado é `chcadmin` e a senha é `chcpassword`. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** P5E GNSS (versões afetadas não especificadas) **Descrição** O problema está relacionado ao componente wifi ap pata get.cmd do firmware do receptor de satélite P5E GNSS, que armazena informações confidenciais em texto simples. Isso permite que um invasor remoto obtenha acesso não autorizado a informações protegidas. Ao acessar o caminho: “http://ip/wifi ap pata get.cmd”, será exibido o nome do ponto de acesso existente no componente e uma senha em texto simples. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** P5E GNSS (versões afetadas não especificadas) **Descrição** O problema está relacionado a falhas no procedimento de autenticação da página admin.html no software P5E GNSS. Isso permite que um invasor remoto redefina a senha de administrador. A vulnerabilidade também está presente no código JavaScript da senha. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Não há menção a nomes específicos de software ou versões nas descrições fornecidas. **Descrição** O problema está relacionado a uma forma não padrão de verificar o cookie de um usuário, permitindo que um invasor contorne a identificação do sistema usando um nome de usuário e senha ao definir um valor específico no cookie. Isso pode potencialmente levar à escalada de privilégios. O número estimado de dispositivos potencialmente afetados e detalhes sobre incidentes reais não foram fornecidos. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.