Nishith Sinha

**Nome do software vulnerável e versões afetadas** Sistema de dimensionamento Cognex 3D-A1000, versões 1.0.3 (3354) e anteriores **Descrição** O problema está relacionado à implementação de funções de segurança no lado do cliente do Sistema de dimensionamento Cognex 3D-A1000. Isso poderia permitir que um invasor remoto elevasse seus privilégios. A vulnerabilidade está associada à aplicação, no lado do cliente, de medidas de segurança do lado do servidor, o que pode permitir que invasores contornem os controles de acesso à web ao inspecionar e modificar o código-fonte de elementos da web protegidos por senha. **Recomendações** Para as versões 1.0.3 (3354) e anteriores, considere desativar o acesso à web a elementos protegidos por senha até que uma correção esteja disponível. Restrinja o acesso ao código-fonte de elementos da web para minimizar o risco de exploração. Evite usar elementos da web protegidos por senha no sistema afetado até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Sistema de dimensionamento Cognex 3D-A1000, versões 1.0.3 e anteriores **Descrição** O problema está relacionado à falta de autenticação para funções críticas, permitindo que usuários não autorizados alterem a senha da conta do operador por meio de comandos do servidor web. Isso pode ser feito monitorando as comunicações do web socket a partir de uma sessão não autenticada, possibilitando que um invasor eleve seus privilégios para igualar os da conta comprometida. **Recomendações** Para as versões 1.0.3 e anteriores, considere desativar os comandos do servidor web relacionados a alterações de senha até que um patch esteja disponível. Restrinja o acesso à interface web para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Sistema de dimensionamento Cognex 3D-A1000, versões 1.0.3 (3354) e anteriores **Descrição** O problema está relacionado à neutralização inadequada da saída de logs, o que pode ser explorado por um invasor remoto para criar arquivos de log arbitrários. Isso pode levar à criação de logs falsos que mostram que a senha foi alterada quando, na verdade, não foi, complicando a análise forense. **Recomendações** Para as versões 1.0.3 (3354) e anteriores, considere desativar a funcionalidade de registro de logs até que um patch esteja disponível para impedir a criação de logs falsos. Restrinja o acesso ao módulo de registro de logs para minimizar o risco de exploração. Evite confiar em arquivos de log para rastreamento de alterações de senha até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Name of the Vulnerable Software and Affected Versions** Cisco IOS and Cisco IOS XE Software (affected versions not specified) **Description** The issue is related to insufficient input validation of the `banner` parameter in the web framework code, allowing an authenticated, remote attacker to conduct a stored cross-site scripting (XSS) attack against a user of the web interface. An attacker could exploit this by crafting a `banner` parameter and saving it, then convincing a user to access a malicious link or intercepting a user request and injecting malicious code. A successful exploit could allow the attacker to execute arbitrary script code in the context of the affected web interface or access sensitive browser-based information. **Recommendations** For Cisco IOS and Cisco IOS XE Software, update to a version that includes the fix for this issue, as software updates have been released by Cisco to address this vulnerability. As a temporary workaround, consider restricting access to the web interface of the affected software to minimize the risk of exploitation. Avoid using the `banner` parameter in the affected web interface until the issue is resolved.