Mohamed Amine Ouad

**Name of the Vulnerable Software and Affected Versions** Ericsson Mobile Switching Center Server (MSC-S) versions BC 18A and IS 3.1 through IS 3.1 CP21 **Description** The issue allows relative path traversal via a specific parameter in the https request after authentication, which enables access to files on the system that are not intended to be accessible via the web application. **Recommendations** For Ericsson Mobile Switching Center Server (MSC-S) versions BC 18A and IS 3.1 through IS 3.1 CP21, update to IS 3.1 CP22 or later to resolve the issue.

**Nome do software vulnerável e versões afetadas** Versões do Ericsson Network Manager anteriores à 21.2 **Descrição** A vulnerabilidade permite que usuários pertencentes ao mesmo grupo de autorização AMOS recuperem dados de determinados arquivos de log, o que pode levar à escalada de privilégios. Todos os usuários AMOS são considerados altamente privilegiados no sistema ENM e devem ser previamente definidos e autorizados pelo administrador de segurança. Esses usuários podem acessar arquivos de log em um caminho comum e ler as informações armazenadas para realizar a escalada de privilégios. **Recomendações** Para versões anteriores à 21.2, considere restringir o acesso aos arquivos de log no caminho comum para minimizar o risco de exploração. Como solução temporária, limite os privilégios dos usuários AMOS para impedir que acessem informações confidenciais nos arquivos de log. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Versões do Ericsson Network Manager anteriores à 21.2 **Descrição** O problema diz respeito a um comportamento incorreto do controle de acesso, afetando usuários com funções de alto privilégio. Isso permite que usuários dentro do mesmo grupo de autorização AMOS recuperem dados da rede gerenciada que não se destinam ao seu acesso, especificamente dados restritos a um subconjunto do grupo. **Recomendações** Para versões do Ericsson Network Manager anteriores à 21.2, atualize para a versão 21.2 ou posterior para resolver o problema.

**Nome do software vulnerável e versões afetadas** Sistemas OSS-RC versões 18B e anteriores **Descrição** O problema afeta as bibliotecas de navegação de documentação do cliente no ALEX em sistemas OSS-RC, tornando-as suscetíveis a ataques de Cross-Site Scripting. Esse problema foi resolvido na nova ferramenta de navegação de bibliotecas da Ericsson, a ELEX, utilizada em sistemas como o Ericsson Network Manager. A vulnerabilidade afeta apenas produtos que não são mais suportados pelo mantenedor. **Recomendações** Para sistemas OSS-RC versões 18B e anteriores, atualize para o Ericsson Network Manager, que é um sistema OSS de nova geração e inclui a correção do problema em sua nova ferramenta de navegação de bibliotecas, o ELEX.

**Nome do software vulnerável e versões afetadas** OSS-RC versões 18B e anteriores **Descrição** O problema afeta os sistemas OSS-RC durante procedimentos de migração de dados, nos quais arquivos contendo `nomes de usuário` e `senhas` não são excluídos e permanecem em pastas acessíveis apenas por contas com privilégios de nível superior. Este problema afeta apenas produtos que não são mais suportados pelo mantenedor. Recomenda-se que os clientes do OSS-RC atualizem para o Ericsson Network Manager, um sistema OSS de nova geração. **Recomendações** Para as versões 18B e anteriores do OSS-RC, considere a atualização para o Ericsson Network Manager para resolver o problema. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.