N0Tme

**Nome do software vulnerável e versões afetadas** Terramaster F4-210, F2-210 TOS versão 4.2.15-2107141517 **Descrição** Um invasor autenticado pode executar comandos arbitrários como root injetando uma entrada maliciosamente criada na solicitação por meio do endpoint da API “/tos/index.php?app/hand app”. **Recomendações** Para o Terramaster F4-210, F2-210 TOS versão 4.2.15-2107141517, considere restringir o acesso ao endpoint da API “/tos/index.php?app/hand app” até que uma correção esteja disponível. Como solução temporária, evite usar esse endpoint para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Terramaster F4-210, F2-210 TOS versão 4.2.X (4.2.15-2107141517) **Descrição** A vulnerabilidade permite a execução de comandos arbitrários como root ao enviar uma entrada especificamente criada para o endpoint da API “/tos/index.php?app/del”. **Recomendações** Para o Terramaster F4-210, F2-210 TOS versão 4.2.X (4.2.15-2107141517), como solução temporária, considere restringir o acesso ao endpoint da API “/tos/index.php?app/del” até que um patch esteja disponível. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Terramaster F4-210, F2-210, versão do TOS 4.2.X (4.2.15-2107141517) **Descrição** A vulnerabilidade permite que um invasor obtenha informações confidenciais, incluindo o hash do primeiro administrador, o endereço MAC e o endereço IP interno, enviando uma solicitação para o endpoint “module/api.php?mobile/webNasIPS”. **Recomendações** Para o Terramaster F4-210, F2-210 TOS versão 4.2.X (4.2.15-2107141517), considere restringir o acesso ao endpoint “module/api.php?mobile/webNasIPS” até que uma correção esteja disponível.

**Nome do software vulnerável e versões afetadas** Terramaster F4-210, F2-210, versão do TOS 4.2.X (4.2.15-2107141517) **Descrição** A vulnerabilidade permite a execução de comandos arbitrários como root mediante o envio de uma entrada especificamente criada para o endpoint da API “/tos/index.php?app/app start stop”. **Recomendações** Para o Terramaster F4-210, F2-210 TOS versão 4.2.X (4.2.15-2107141517), como solução temporária, considere restringir o acesso ao endpoint da API “/tos/index.php?app/app start stop” até que um patch esteja disponível. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Terramaster F4-210, F2-210, versões do TOS 4.2.X (4.2.15-2107141517) **Descrição** A vulnerabilidade permite que um invasor assine cookies de sessão por conta própria caso conheça o endereço MAC do alvo e o hash da senha do usuário. Além disso, usuários convidados, que estão desativados por padrão, podem ser explorados usando um hash nulo ou vazio, permitindo que um invasor não autenticado faça login como convidado. **Recomendações** Para o Terramaster F4-210 e F2-210 com a versão 4.2.15-2107141517 do TOS, considere desativar as contas de usuário convidado para evitar a exploração. Como solução temporária, restrinja o acesso à funcionalidade de login até que um patch esteja disponível. Evite usar hashes nulos ou vazios para usuários convidados a fim de minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Terramaster F4-210, F2-210, versões do TOS 4.2.15-2107141517 **Descrição** A vulnerabilidade permite que um invasor obtenha informações confidenciais, incluindo o hash do primeiro administrador, o endereço MAC e o endereço IP interno, enviando uma solicitação para o endpoint “/module/api.php?mobile/wapNasIPS”. **Recomendações** Para as versões 4.2.15-2107141517 do TOS do Terramaster F4-210 e F2-210, como solução temporária, considere restringir o acesso ao endpoint “/module/api.php?mobile/wapNasIPS” até que um patch esteja disponível. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.