Netsecfish

**Nome do Software Vulnerável e Versões Afetadas** Provision-ISR SH-4050A-2 Provision-ISR SH-4100A-2L(MM) Provision-ISR SH-8100A-2L(MM) Provision-ISR SH-16200A-2(1U) Provision-ISR SH-16200A-5(1U) Provision-ISR NVR5-8200PX até 20241220 **Descrição** Uma vulnerabilidade foi encontrada em dispositivos Provision-ISR, afetando uma funcionalidade desconhecida do arquivo /server.js. Isso resulta em divulgação de informações e pode ser explorado remotamente. O exploit foi divulgado publicamente e pode ser utilizado. **Recomendações** Para Provision-ISR SH-4050A-2, considere desabilitar a funcionalidade afetada do arquivo /server.js até que uma correção esteja disponível. Para Provision-ISR SH-4100A-2L(MM), restrinja o acesso ao arquivo /server.js para minimizar o risco de exploração. Para Provision-ISR SH-8100A-2L(MM), evite usar a funcionalidade afetada do arquivo /server.js até que o problema seja resolvido. Para Provision-ISR SH-16200A-2(1U), considere desativar temporariamente o recurso de acesso remoto para prevenir exploração. Para Provision-ISR SH-16200A-5(1U), restrinja o acesso ao arquivo /server.js para minimizar o risco de exploração. Para Provision-ISR NVR5-8200PX até 20241220, considere desabilitar a funcionalidade afetada do arquivo /server.js até que uma correção esteja disponível. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Name of the Vulnerable Software and Affected Versions** Dahua IPC-HFW1200S versions up to 20241222 Dahua IPC-HFW2300R-Z versions up to 20241222 Dahua IPC-HFW5220E-Z versions up to 20241222 Dahua IPC-HDW1200S versions up to 20241222 **Description** A vulnerability was found in the Web Interface component of the affected devices, specifically in some unknown functionality of the file ../mtd/Config/Sha1Account1. The manipulation leads to path traversal: '../filedir'. The attack may be launched remotely. The exploit has been disclosed to the public and may be used. **Recommendations** For Dahua IPC-HFW1200S versions up to 20241222, restrict access to the Web Interface to minimize the risk of exploitation. For Dahua IPC-HFW2300R-Z versions up to 20241222, consider disabling the `../mtd/Config/Sha1Account1` file functionality until a patch is available. For Dahua IPC-HFW5220E-Z versions up to 20241222, avoid using the vulnerable path traversal: '../filedir' in the Web Interface until the issue is resolved. For Dahua IPC-HDW1200S versions up to 20241222, as a temporary workaround, consider disabling the Web Interface until a patch is available. At the moment, there is no information about a newer version that contains a fix for this vulnerability.

**Nome do software vulnerável e versões afetadas** DrayTek Vigor2960 e Vigor300B, versão 1.5.1.4 **Descrição** Existe uma vulnerabilidade crítica na interface de gerenciamento web do DrayTek Vigor2960 e do Vigor300B. O problema está relacionado à manipulação do argumento `session` no endpoint `/cgi-bin/mainfunction.cgi/apmcfgupload`, o que leva à injeção de comandos no sistema operacional. Isso permite que um invasor remoto execute código arbitrário. Estima-se que cerca de 66.000 dispositivos estejam potencialmente afetados. A exploração foi divulgada ao público e pode estar em uso. **Recomendações** Para o DrayTek Vigor2960 e Vigor300B versão 1.5.1.4, atualize para a versão 1.5.1.5 para resolver esta vulnerabilidade. Como solução temporária, considere restringir o acesso ao endpoint `/cgi-bin/mainfunction.cgi/apmcfgupload` para minimizar o risco de exploração. Evite usar o argumento `session` no endpoint da API afetado até que a vulnerabilidade seja resolvida.

**Nome do software vulnerável e versões afetadas** Amcrest IP2M-841B, versões até 20241211 Amcrest IP2M-841W, versões até 20241211 Amcrest IPC-IP2M-841B, versões até 20241211 Versões do Amcrest IPC-IP3M-943B até 20241211 Versões do Amcrest IPC-IP3M-943S até 20241211 Versões do Amcrest IPC-IP3M-HX2B até 20241211 Versões do Amcrest IPC-IPM-721S até 20241211 **Descrição** Foi encontrada uma vulnerabilidade problemática, afetando uma parte desconhecida do arquivo /web caps/webCapsConfig do componente Web Interface. Isso leva à divulgação de informações e pode ser iniciado remotamente. A exploração foi divulgada ao público e pode estar em uso. **Recomendações** Para a versão Amcrest IP2M-841B até 20241211, atualize para uma versão posterior a 20241211. Para a versão Amcrest IP2M-841W até 20241211, atualize para uma versão posterior a 20241211. Para a versão do Amcrest IPC-IP2M-841B até 20241211, atualize para uma versão posterior a 20241211. Para a versão do Amcrest IPC-IP3M-943B até 20241211, atualize para uma versão posterior a 20241211. Para a versão do Amcrest IPC-IP3M-943S até 20241211, atualize para uma versão posterior a 20241211. Para a versão do Amcrest IPC-IP3M-HX2B até 20241211, atualize para uma versão posterior a 20241211. Para a versão do Amcrest IPC-IPM-721S até 20241211, atualize para uma versão posterior a 20241211.

**Nome do software vulnerável e versões afetadas** DrayTek Vigor2960 e Vigor300B, versões 1.5.1.3 a 1.5.1.4 **Descrição** Foi detectada uma falha crítica no componente da Interface de Gerenciamento Web, afetando algum processamento desconhecido do arquivo /cgi-bin/mainfunction.cgi/apmcfgupptim. A manipulação do argumento `session` leva à injeção de comandos no sistema operacional. O ataque pode ser iniciado remotamente. A vulnerabilidade já foi divulgada publicamente e pode estar sendo explorada. **Recomendações** Para as versões 1.5.1.3 a 1.5.1.4 do DrayTek Vigor2960 e Vigor300B, atualize para a versão 1.5.1.5 para resolver este problema. Como solução temporária, considere restringir o acesso ao componente vulnerável da Interface de Gerenciamento Web até que a atualização seja aplicada. Evite usar o argumento `session` no endpoint da API afetado até que o problema seja resolvido.

**Nome do software vulnerável e versões afetadas** Versões do Intelbras VIP S3020 G2 até 20241222 Versões do Intelbras VIP S4020 G2 até 20241222 Versões do Intelbras VIP S4020 G3 até 20241222 Versões do Intelbras VIP S4320 G2 até 20241222 **Descrição** Foi encontrada uma vulnerabilidade no componente de interface web das câmeras IP Intelbras, afetando especificamente alguma funcionalidade desconhecida do arquivo `/web caps/webCapsConfig`. A manipulação dessa funcionalidade leva à divulgação de informações. O ataque pode ser lançado remotamente. O fornecedor avalia que as informações divulgadas não são confidenciais e não representam risco para o usuário. **Recomendações** Para as versões do Intelbras VIP S3020 G2 até 20241222, restrinja o acesso ao arquivo `/web caps/webCapsConfig` para minimizar o risco de exploração. Para as versões do Intelbras VIP S4020 G2 até 20241222, considere desativar o componente Interface Web até que uma correção esteja disponível. Para as versões do Intelbras VIP S4020 G3 até 20241222, evite usar o componente Interface Web até que o problema seja resolvido. Para as versões do Intelbras VIP S4320 G2 até 20241222, limite o acesso remoto ao componente Interface Web para prevenir possíveis ataques. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Versões do Intelbras VIP S3020 G2 até 20241222 Versões do Intelbras VIP S4020 G2 até 20241222 Versões do Intelbras VIP S4020 G3 até 20241222 Versões do Intelbras VIP S4320 G2 até 20241222 **Descrição** Foi encontrada uma vulnerabilidade crítica no componente Web Interface das câmeras Intelbras VIP, afetando uma parte desconhecida do arquivo ../mtd/Config/Sha1Account1. A manipulação leva a um traversal de caminho: ‘../filedir’. É possível iniciar o ataque remotamente. A exploração foi divulgada ao público e pode estar em uso. **Recomendações** Para as versões do Intelbras VIP S3020 G2 até 20241222, considere desativar o acesso remoto à interface web até que uma correção esteja disponível. Para as versões do Intelbras VIP S4020 G2 até 20241222, restrinja o acesso ao arquivo ../mtd/Config/Sha1Account1 para minimizar o risco de exploração. Para as versões do Intelbras VIP S4020 G3 até 20241222, evite usar a interface web até que o problema seja resolvido. Para as versões do Intelbras VIP S4320 G2 até 20241222, considere desativar temporariamente o componente da interface web até que um patch esteja disponível. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** D-Link DNS-320, DNS-320LW, DNS-325 e DNS-340L, versões até 20241028 **Descrição** Existe uma vulnerabilidade crítica na função `cgi user add` do arquivo `/cgi-bin/account mgr.cgi?cmd=cgi user add` nos dispositivos D-Link afetados. A manipulação do grupo de argumentos permite a injeção de comandos no sistema operacional. Isso permite que um invasor remoto execute comandos arbitrários no sistema. A complexidade de um ataque bem-sucedido é considerada alta e, embora a exploração seja difícil, existe um exploit público disponível. **Recomendações** Atualize os dispositivos D-Link DNS-320, DNS-320LW, DNS-325 e DNS-340L para uma versão posterior à 20241028.

**Nome do software vulnerável e versões afetadas** D-Link DNS-320, versões até 20241028 D-Link DNS-320LW, versões até 20241028 D-Link DNS-325, versões até 20241028 Versões do D-Link DNS-340L até 20241028 **Descrição** O problema está relacionado à proteção insuficiente dos dados de serviço no arquivo /xml/info.xml do componente HTTP GET Request Handler nos dispositivos D-Link DNS. Isso pode ser explorado por um invasor remoto para divulgar informações confidenciais. A manipulação leva à divulgação de informações e pode ser iniciada remotamente. **Recomendações** Para as versões do D-Link DNS-320 até 20241028, considere restringir o acesso ao arquivo /xml/info.xml até que uma correção esteja disponível. Para as versões do D-Link DNS-320LW até 20241028, considere restringir o acesso ao arquivo /xml/info.xml até que uma correção esteja disponível. Para as versões do D-Link DNS-325 até 20241028, considere restringir o acesso ao arquivo /xml/info.xml até que uma correção esteja disponível. Para as versões do D-Link DNS-340L até 20241028, considere restringir o acesso ao arquivo /xml/info.xml até que uma correção esteja disponível. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Versões do D-Link DNS-320 anteriores a 20241028 Versões do D-Link DNS-320LW anteriores a 20241028 Versões do D-Link DNS-325 anteriores a 20241028 Versões do D-Link DNS-340L anteriores a 20241028 **Descrição** Existe uma vulnerabilidade crítica nos dispositivos D-Link DNS-320, DNS-320LW, DNS-325 e DNS-340L. O problema é uma falha de injeção de comando localizada na função `cgi user add` do arquivo `/cgi-bin/account mgr.cgi?cmd=cgi user add`. A manipulação do argumento `name` permite a execução de comandos arbitrários do sistema operacional. O ataque pode ser lançado remotamente. A exploração é considerada difícil, mas um exploit público está disponível. Estima-se que aproximadamente 61.000 dispositivos em todo o mundo estejam afetados, com tentativas de exploração observadas a partir de 12 de novembro. A vulnerabilidade se deve à validação insuficiente da entrada do parâmetro `name`, permitindo que invasores injetem comandos de shell. **Recomendações** D-Link DNS-320: Como a D-Link não lançará uma correção, substitua o dispositivo por um modelo compatível ou restrinja o acesso de redes externas. D-Link DNS-320LW: Como a D-Link não lançará uma correção, substitua o dispositivo por um modelo compatível ou restrinja o acesso de redes externas. D-Link DNS-325: Como a D-Link não lançará uma correção, substitua o dispositivo por um modelo compatível ou restrinja o acesso de redes externas. D-Link DNS-340L: Como a D-Link não lançará uma correção, substitua o dispositivo por um modelo compatível ou restrinja o acesso de redes externas.

**Nome do software vulnerável e versões afetadas** TVT DVR TD-2104TS-CL (versões afetadas não especificadas) DVR TD-2108TS-HP (versões afetadas não especificadas) Provision-ISR DVR SH-4050A5-5L(MM) (versões afetadas não especificadas) AVISION DVR AV108T (versões afetadas não especificadas) TD-2116TE-HP (versões afetadas não especificadas) SH-8100A-2L(MM) (versões afetadas não especificadas) **Descrição** A vulnerabilidade está relacionada à falta de proteção dos dados de serviço em gravadores de vídeo HD híbridos, o que pode ser explorado remotamente para divulgar informações protegidas. A vulnerabilidade afeta o arquivo `/queryDevInfo` e pode levar à exposição de dados confidenciais. A exploração já foi divulgada ao público e pode ser utilizada. **Recomendações** Para o TVT DVR TD-2104TS-CL, considere aplicar imediatamente restrições de firewall para minimizar o risco de exploração. Para o DVR TD-2108TS-HP, considere aplicar imediatamente uma configuração restritiva de firewall para minimizar o risco de exploração. Para o Provision-ISR DVR SH-4050A5-5L(MM), considere aplicar imediatamente uma configuração restritiva de firewall para minimizar o risco de exploração. Para o AVISION DVR AV108T, considere aplicar imediatamente uma configuração restritiva de firewall para minimizar o risco de exploração. Para o TD-2116TE-HP, considere aplicar imediatamente uma configuração restritiva de firewall para minimizar o risco de exploração. Para o SH-8100A-2L(MM), considere aplicar imediatamente uma configuração restritiva de firewall para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que

**Nome do software vulnerável e versões afetadas** Raisecom MSG1200, MSG2100E, MSG2200 e MSG2300 versão 3.90 **Descrição** Foi encontrada uma vulnerabilidade crítica no componente de interface web dos dispositivos Raisecom, especificamente no arquivo list base config.php. A manipulação do argumento `template` leva à injeção de comandos no sistema operacional, permitindo que invasores remotos executem comandos arbitrários. A exploração foi divulgada ao público e pode estar em uso. A vulnerabilidade pode ser explorada por meio de um ataque remoto, permitindo potencialmente que invasores executem código arbitrário através da injeção de um comando curl especialmente criado. **Recomendações** Para os dispositivos Raisecom MSG1200, MSG2100E, MSG2200 e MSG2300 versão 3.90, como solução temporária, considere desativar o arquivo `list base config.php` ou restringir o acesso à interface web até que um patch esteja disponível. Evite usar o argumento `template` no endpoint da API afetado até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

Nome do software vulnerável e versões afetadas: Dispositivo Hipcam até 20240511 Descrição: Foi identificada uma vulnerabilidade no componente MAC Address Handler do dispositivo Hipcam, afetando o arquivo /log/wifi.mac. Esse problema leva à divulgação de informações e pode ser explorado remotamente. O fornecedor foi contatado sobre esta divulgação, mas não respondeu. Recomendações: Para o dispositivo Hipcam até 20240511, considere restringir o acesso ao arquivo /log/wifi.mac para minimizar o risco de exploração. Como solução temporária, evite usar o componente MAC Address Handler até que uma correção esteja disponível. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

Nome do software vulnerável e versões afetadas: Faraday GM8181 e GM828x até 20240429 Descrição: Foi identificada uma vulnerabilidade crítica no componente do serviço NTP. A manipulação do argumento `ntp srv` leva à injeção de comandos no sistema operacional, possibilitando ataques remotos. A exploração já foi divulgada publicamente e pode estar em uso. Recomendações: Para Faraday GM8181 e GM828x até 20240429, recomenda-se atualizar o componente afetado para uma versão mais recente. Como solução temporária, considere restringir o acesso ao componente do serviço NTP para minimizar o risco de exploração. Evite usar o argumento `ntp srv` no componente afetado até que o problema seja resolvido.

Nome do software vulnerável e versões afetadas: Faraday GM8181 e GM828x até 20240429 Descrição: Foi identificada uma falha que afeta uma funcionalidade desconhecida do arquivo /command port.ini. Isso leva à divulgação de informações e pode ser explorado remotamente. A falha já foi divulgada publicamente. Recomendações: Para o Faraday GM8181 e GM828x até 20240429, considere restringir o acesso ao arquivo /command port.ini como uma solução temporária até que uma correção esteja disponível. No momento, não há informações sobre uma versão mais recente que contenha uma correção para este problema.

Nome do software vulnerável e versões afetadas: Faraday GM8181 e GM828x até 20240429 Descrição: Foi identificada uma vulnerabilidade crítica no componente Request Handler, levando à divulgação de informações. O ataque pode ser executado remotamente. Estima-se que um número significativo de dispositivos possa estar afetado, mas o número exato não foi especificado. A exploração foi divulgada ao público e pode estar em uso. Recomendações: Para o Faraday GM8181 e GM828x até 20240429, recomenda-se atualizar o componente afetado para uma versão mais recente. Como solução temporária, considere restringir o acesso ao componente Request Handler até que um patch esteja disponível.

**Nome do software vulnerável e versões afetadas** Xiongmai AHB7804R-MH-V2 Xiongmai AHB8004T-GL Xiongmai AHB8008T-GL Xiongmai AHB7004T-GS-V3 Xiongmai AHB7004T-MHV2 Xiongmai AHB8032F-LME Xiongmai XM530 R80X30-PQ 8M **Descrição** Foi encontrada uma vulnerabilidade crítica no componente Sofia Service dos dispositivos Xiongmai afetados. A falha permite controles de acesso inadequados devido à manipulação de uma funcionalidade desconhecida com uma entrada específica, `ff00000000000000000000000000f103250000007b202252657422203a203130302c202253657373696f6e494422203a2022 30783022207d0a`. Isso pode ser explorado remotamente. A exploração foi divulgada publicamente. **Recomendações** Para todos os dispositivos afetados, restrinja o acesso ao firewall para minimizar o risco de exploração. Como solução temporária, considere desativar o componente Sofia Service até que uma correção esteja disponível. Evite usar os dispositivos afetados até que uma correção seja fornecida pelo fornecedor. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Keenetic KN-1010, KN-1410, KN-1711, KN-1810 e KN-1910, versões até 4.1.2.15 **Descrição** Foi encontrada uma vulnerabilidade no componente Version Data Handler, especificamente no arquivo /version.js, que leva à divulgação de informações. O ataque pode ser lançado remotamente, e a exploração já foi divulgada ao público. O problema está relacionado à proteção insuficiente dos dados do serviço, permitindo que um invasor obtenha acesso não autorizado a informações protegidas. **Recomendações** Para as versões Keenetic KN-1010, KN-1410, KN-1711, KN-1810 e KN-1910 até a versão 4.1.2.15, considere desativar a funcionalidade `version.js` até que um patch esteja disponível. Restrinja o acesso ao componente Version Data Handler para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** TBK DVR-4104 e TBK DVR-4216, versões até 20240412 **Descrição** Existe uma vulnerabilidade crítica nos dispositivos TBK DVR-4104 e DVR-4216. Este problema decorre de uma falha na neutralização de elementos especiais dentro do sistema operacional ao processar os parâmetros `mdb` e `mdc` através do endpoint `/device.rsp?opt=sys&cmd= S O S T R E A MAX `. A exploração bem-sucedida permite que um invasor remoto execute comandos arbitrários ou cause uma negação de serviço enviando uma solicitação POST especialmente criada. Essa vulnerabilidade, identificada como CVE-2024-3721, tem sido ativamente explorada por uma nova variante da botnet Mirai, resultando em mais de 50.000 dispositivos infectados globalmente, particularmente na Rússia, China, Egito, Índia, Brasil e Turquia. A botnet utiliza criptografia RC4 e técnicas anti-VM para evitar a detecção. A vulnerabilidade é uma falha de injeção de comando, na qual a manipulação dos argumentos `mdb`/`mdc` leva à injeção de comando no sistema operacional por meio do endpoint da API `/device.rsp`. **Recomendações** Versões do TBK DVR-4104 anteriores a 20240412 Versões do TBK DVR-4216 anteriores a 20240412

Nome do software vulnerável e versões afetadas: Netgear DG834Gv5 versão 1.6.01.34 Descrição: Foi encontrada uma vulnerabilidade na Interface de Gerenciamento Web do Netgear DG834Gv5, que leva ao armazenamento em texto simples de informações confidenciais. O ataque pode ser iniciado remotamente. A exploração foi divulgada ao público e pode ser utilizada. Esta falha está relacionada ao armazenamento de informações críticas de forma não criptografada, permitindo que um invasor remoto divulgue informações protegidas. Recomendações: Para o Netgear DG834Gv5 versão 1.6.01.34, como solução temporária, considere restringir o acesso à Interface de Gerenciamento Web até que um patch esteja disponível. Evite usar a Interface de Gerenciamento Web para operações confidenciais até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.