Mohammed Alshehri

**Nome do Software Vulnerável e Versões Afetadas** Privacy Drive versão 3.17.0 **Descrição** Um problema de caminho de serviço não Aspas (unquoted service path) existe no binário do serviço `pdsvc.exe`. Atacantes locais podem explorar o processo de inicialização do serviço colocando executáveis maliciosos nos diretórios de caminho não aspas, permitindo a execução de código arbitrário com privilégios de LocalSystem durante a reinicialização do sistema ou inicialização do serviço. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.

**Name of the Vulnerable Software and Affected Versions** Program Access Controller version 1.2.0.0 **Description** Program Access Controller 1.2.0.0 contains an unquoted service path vulnerability in `PACService.exe` that allows local attackers to execute code with elevated privileges. Attackers can exploit the unquoted path during system startup or reboot to inject and run malicious executables with LocalSystem permissions. **Recommendations** At the moment, there is no information about a newer version that contains a fix for this vulnerability.

**Name of the Vulnerable Software and Affected Versions** IP Watcher version 3.0.0.30 **Description** IP Watcher version 3.0.0.30 contains an unquoted service path vulnerability in its Windows service configuration. This allows local attackers to execute arbitrary code by exploiting the unquoted binary path. Attackers can inject malicious executables that will be launched with elevated LocalSystem privileges during service startup. **Recommendations** Ensure the service path is properly quoted to prevent the execution of unauthorized code.

**Name of the Vulnerable Software and Affected Versions** WinAVR versão 20100110 **Description** Permissões inseguras permitem que usuários autenticados modifiquem arquivos do sistema e executáveis. Atacantes podem aproveitar controles de acesso excessivamente permissivos para modificar DLLs críticas e arquivos executáveis no diretório de instalação. **Recommendations** No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.

**Name of the Vulnerable Software and Affected Versions** VFS for Git version 1.0.21014.1 **Description** VFS for Git version 1.0.21014.1 contains a security issue in the GVFS.Service Windows service related to an unquoted service path. This allows local attackers to potentially execute code with elevated privileges. The issue arises because the unquoted binary path can be exploited to inject malicious executables. These executables can then be launched with LocalSystem privileges during service startup or system reboot. **Recommendations** At the moment, there is no information about a newer version that contains a fix for this vulnerability.

**Name of the Vulnerable Software and Affected Versions** Sandboxie Plus version 0.7.2 **Description** Sandboxie Plus version 0.7.2 has an issue with the `SbieSvc` service where an unquoted service path can allow local attackers to run code with elevated privileges. Exploiting the unquoted binary path allows attackers to inject malicious executables that run with LocalSystem permissions when the service starts. **Recommendations** At the moment, there is no information about a newer version that contains a fix for this vulnerability.

**Name of the Vulnerable Software and Affected Versions** FreeLAN version 2.2 **Description** The software contains an unquoted service path vulnerability in its Windows service configuration. This allows local attackers to execute arbitrary code by exploiting the unquoted binary path to inject malicious executables. These injected executables will launch with elevated LocalSystem privileges during service startup. **Recommendations** Ensure the service path is enclosed in quotes during the Windows service configuration.

**Nome do software vulnerável e versões afetadas** EmailGPT (versões afetadas não especificadas) **Descrição** O serviço EmailGPT contém uma vulnerabilidade de injeção de prompt. O serviço utiliza uma API que permite que um usuário mal-intencionado injete um prompt direto e assuma o controle da lógica do serviço. Os invasores podem explorar a vulnerabilidade forçando o serviço de IA a vazar os prompts padrão do sistema codificados de forma rígida e/ou a executar prompts indesejados. Ao interagir com o EmailGPT enviando um prompt malicioso que solicite informações prejudiciais, o sistema responderá fornecendo os dados solicitados. Essa vulnerabilidade pode ser explorada por qualquer pessoa com acesso ao serviço. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** EmbedAI (versões afetadas não especificadas) **Descrição** O aplicativo EmbedAI está sujeito a problemas de segurança que permitem ataques de envenenamento de dados devido à ausência de uma implementação segura de gerenciamento de sessões e a políticas CORS fracas. Essa vulnerabilidade pode resultar no comprometimento do aplicativo, levando a acessos não autorizados ou ataques de envenenamento de dados, que são executados por meio de uma vulnerabilidade CSRF. Um invasor pode direcionar um usuário para uma página da web maliciosa que explora uma vulnerabilidade CSRF dentro do aplicativo EmbedAI. Ao aproveitar essa vulnerabilidade CSRF, o invasor pode induzir o usuário a, inadvertidamente, enviar e integrar dados incorretos ao modelo de linguagem do aplicativo. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Lazy Mouse (versões afetadas não especificadas) **Descrição** A configuração padrão do Lazy Mouse não exige senha, permitindo que usuários remotos não autenticados executem código arbitrário sem autorização ou autenticação prévia. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** PC Keyboard (versões afetadas não especificadas) **Descrição** A vulnerabilidade permite que usuários remotos não autenticados enviem instruções ao servidor para executar código arbitrário sem qualquer autorização ou autenticação prévia. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Telepad (versões afetadas não especificadas) **Descrição** A vulnerabilidade permite que um invasor, posicionado como intermediário entre o servidor e um dispositivo conectado, visualize todos os dados, incluindo teclas digitadas, em texto simples. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Telepad (versões afetadas não especificadas) **Descrição** A vulnerabilidade permite que usuários remotos não autenticados enviem instruções ao servidor, possibilitando a execução de código arbitrário sem autorização ou autenticação prévia. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** PC Keyboard WiFi & Bluetooth (versões afetadas não especificadas) **Descrição** A vulnerabilidade permite que um invasor, posicionado como intermediário entre o servidor e um dispositivo conectado, visualize todos os dados, incluindo teclas digitadas, em texto simples. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Lazy Mouse (versões afetadas não especificadas) **Descrição** A vulnerabilidade permite que um invasor, posicionado como intermediário entre o servidor e um dispositivo conectado, visualize todos os dados, incluindo teclas digitadas, em texto simples. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Servidor Lazy Mouse (versões afetadas não especificadas) **Descrição** A vulnerabilidade permite que usuários remotos não autenticados realizem ataques de força bruta de forma fácil e rápida contra o PIN e executem comandos arbitrários devido a requisitos fracos de senha e à ausência de limitação de taxa. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.