Paula Januszkiewicz

**Nome do software vulnerável e versões afetadas** Automatic-Systems SOC FL9600 FastLine lego T04E00 (versões afetadas não especificadas) **Descrição** A vulnerabilidade permite que um invasor remoto obtenha informações confidenciais por meio de um ataque de traversal de diretório. Isso pode ser feito explorando o endpoint `csvServer.php` com um parâmetro `dir` especialmente criado, contendo uma sequência `..`. O número estimado de dispositivos potencialmente afetados em todo o mundo não está disponível. Não há informações sobre incidentes reais em que essa vulnerabilidade tenha sido explorada. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade. Como solução temporária, considere restringir o acesso ao endpoint `csvServer.php` para minimizar o risco de exploração. Evite usar o parâmetro `dir` no endpoint afetado até que a vulnerabilidade seja resolvida.

**Nome do software vulnerável e versões afetadas** Automatic Systems SOC FL9600 FirstLane versão V06 lego T04E00 Automatic Systems SOC FL9600 FastLine versão v.legoT04E00 **Descrição** Uma falha no Automatic Systems SOC FL9600 permite que um invasor remoto obtenha informações confidenciais, pois existe uma conta de superadministrador do Automatic Systems com uma senha predefinida, especificamente `astech`. O invasor pode explorar essa vulnerabilidade por meio das credenciais de login do administrador. **Recomendações** Para a versão V06 lego T04E00, considere alterar a senha codificada `astech` da conta de superadministrador para impedir o acesso não autorizado. Para a versão v.legoT04E00, restrinja o acesso às credenciais de login de administrador para minimizar o risco de exploração. Como solução alternativa temporária, considere desativar o recurso de login de administrador até que um patch esteja disponível.