Pierre Barre

**Nome do Software Vulnerável e Versões Afetadas** eGovFramework/egovframe-common-components versões até e incluindo a 4.3.1 **Descrição** O software contém uma vulnerabilidade de upload de arquivo não autenticado através dos endpoints da API `/utl/wed/insertImage.do` e `/utl/wed/insertImageCk.do`. Esses endpoints aceitam requisições multipart sem autenticação e armazenam os arquivos enviados no servidor. Em versões anteriores à 4.1.2, um atacante controla o tipo MIME da resposta, permitindo-lhe usar a aplicação como um serviço de hospedagem de arquivos para conteúdo arbitrário. A partir da versão 4.1.2, arquivos que não são de imagem são servidos com o tipo de conteúdo `application/octet-stream`, impedindo o controle do atacante sobre o tipo de conteúdo. A vulnerabilidade permite que um atacante não autenticado envie arquivos e obtenha uma URL de download. A extensão do nome do arquivo está em lista branca, mas o atacante controla o conteúdo do arquivo. **Recomendações** Versões anteriores à 4.1.2: Corrija o problema do tipo MIME controlado pelo atacante para impedir a disponibilização de conteúdo arbitrário. Versões até e incluindo a 4.3.1: Implemente autenticação para os endpoints `/utl/wed/insertImage.do` e `/utl/wed/insertImageCk.do`.

**Nome do Software Vulnerável e Versões Afetadas** Dispositivos AudioCodes Fax Server e Auto-Attendant IVR, versões até e incluindo a 2.6.23 **Descrição** O componente de administração web (F2MAdmin) inclui um endpoint de upload de prompt não autenticado em `/AudioCodes files/utils/IVR/diagram/ajaxPromptUploadFile.php`. Este script aceita arquivos carregados e os escreve no diretório `C:F2MAdmintmp` utilizando um nome de arquivo derivado de constantes da aplicação, sem autenticação, autorização ou validação de tipo de arquivo. Um atacante remoto não autenticado pode carregar ou sobrescrever arquivos relacionados a prompts ou música de espera, potencialmente adulterando o conteúdo de áudio do IVR ou preparando arquivos para ataques subsequentes. **Recomendações** Versões anteriores à 2.6.23 devem ser atualizadas.

**Nome do Software Vulnerável e Versões Afetadas** eGovFramework/egovframe-common-components versões até e incluindo 4.3.1 **Descrição** A funcionalidade de upload de imagens do Editor Web no software utiliza criptografia simétrica para parâmetros de URL, mas revela um oráculo de criptografia. Isso permite que atacantes criem texto cifrado válido para valores escolhidos. Os endpoints de upload de imagem `/utl/wed/insertImage.do` e `/utl/wed/insertImageCk.do` criptografam caminhos do lado do servidor, nomes de arquivo e tipos MIME, incorporando-os em uma URL de download retornada ao cliente. Esses parâmetros criptografados são então tratados como confiáveis por outros endpoints, como `/utl/web/imageSrc.do` e `/cmm/fms/getImage.do`. Um atacante não autenticado pode explorar isso para obter representações criptografadas de identificadores escolhidos pelo atacante e realizar replay deles nas APIs de serviço de arquivos. Isso contorna controles de acesso que dependem do sigilo dos parâmetros criptografados, permitindo potencialmente a recuperação de arquivos armazenados arbitrários sem a devida autorização. Os parâmetros vulneráveis são os caminhos do lado do servidor, nomes de arquivo e tipos MIME criptografados. **Recomendações** Versões anteriores a 4.3.1 devem ser utilizadas.

**Nome do Software Vulnerável e Versões Afetadas** Equipamentos AudioCodes Fax Server e Auto-Attendant IVR versões até e incluindo a 2.6.23 **Descrição** O software contém uma falha devido a uma injeção de comando autenticada na funcionalidade de teste de fax implementada por AudioCodes files/TestFax.php. Quando um teste de "envio" de fax é solicitado, o aplicativo constrói uma linha de comando faxsender usando parâmetros fornecidos por um atacante e a passa para `RunBatchFile` sem validação suficiente ou sanitização de argumentos de shell. O arquivo em lote resultante é gravado em um diretório de execução temporário e então executado por um serviço de backend em execução com privilégios de SYSTEM. Um atacante autenticado com acesso à interface de teste de fax pode criar valores de parâmetros que injetam comandos de shell adicionais no arquivo em lote gerado, resultando em execução arbitrária de comandos com privilégios de SYSTEM. Além disso, devido a permissões excessivamente permissivas do sistema de arquivos no local onde os arquivos em lote gerados são armazenados, um usuário local de baixos privilégios no servidor pode modificar arquivos em lote pendentes para alcançar o mesmo escalonamento de privilégios. **Recomendações** Versões anteriores à 2.6.23 devem ser usadas.

**Nome do Software Vulnerável e Versões Afetadas** Dispositivos AudioCodes Fax Server e Auto-Attendant IVR versões até e incluindo a 2.6.23 **Descrição** O software contém uma vulnerabilidade de leitura de arquivo não autenticada através do script `download.php`. O script expõe um mecanismo de download de arquivos sem controle de acesso adequado, permitindo que usuários remotos não autenticados solicitem arquivos do dispositivo usando parâmetros de caminho e nome de arquivo fornecidos pelo atacante. Embora o aplicativo limite as extensões de arquivo, arquivos de backup sensíveis podem ser recuperados, potencialmente expondo bancos de dados internos e hashes de credenciais. A exploração pode levar à divulgação de hashes de senha de administrador e outros dados de configuração sensíveis. O endpoint vulnerável é `/download.php` e utiliza parâmetros como `filename` e `path` para recuperar arquivos. **Recomendações** Versões anteriores à 2.6.23 devem ser atualizadas.

**Nome do Software Vulnerável e Versões Afetadas** Dispositivos AudioCodes Fax Server e Auto-Attendant IVR versões até e incluindo a 2.6.23 **Descrição** O software contém uma vulnerabilidade de injeção de comando no processo de ativação de licença, especificamente no arquivo ''ActivateLicense.php'' localizado no diretório ''AudioCodes files''. A aplicação constrói um comando para ''fax server lic cmdline.exe'' usando um nome de arquivo derivado de um upload de arquivo de licença fornecido pelo usuário. A extensão do arquivo, que é controlada pelo atacante, é incorporada à string de comando sem a devida validação ou sanitização. Isso permite que um usuário autenticado injete comandos shell arbitrários que são executados com privilégios de NT AUTHORITYSYSTEM. O parâmetro vulnerável é a extensão do arquivo dentro do arquivo de licença carregado. **Recomendações** Versões anteriores à 2.6.23 devem ser utilizadas.

**Name of the Vulnerable Software and Affected Versions** AudioCodes Fax Server and Auto-Attendant IVR appliances versions up to and including 2.6.23 **Description** The software contains an unauthenticated backup upload endpoint located at `/AudioCodes files/ajaxBackupUploadFile.php` within the F2MAdmin web interface. The script determines a backup folder path from the application configuration, creates the directory if it doesn't exist, and then moves an uploaded file to that location using the attacker-controlled filename, without any authentication, authorization, or file-type validation. On default Windows deployments where the backup directory resolves to the system drive, a remote attacker can upload web server or interpreter configuration files. This can cause a log file or other server-controlled resource to be treated as executable code, allowing subsequent HTTP requests to trigger arbitrary command execution under the web server account, which runs as NT AUTHORITYSYSTEM. **Recommendations** Versions prior to 2.6.23 should be updated.

**Nome do Software Vulnerável e Versões Afetadas** Dispositivos AudioCodes Fax Server e Auto-Attendant IVR, versões até e incluindo a 2.6.23 **Descrição** O componente de administração web (F2MAdmin) inclui um endpoint de gerenciamento de scripts não autenticado em `/AudioCodes files/utils/IVR/diagram/ajaxScript.php`. A ação `saveScript` dentro deste endpoint permite gravar dados fornecidos pelo invasor diretamente em um caminho de arquivo no servidor, executando com privilégios de NT AUTHORITYSYSTEM no Windows. Isso permite que um invasor remoto e não autenticado grave arquivos arbitrários na estrutura de diretórios acessível via web do produto e, subsequentemente, os execute. **Recomendações** Versões anteriores à 2.6.23 devem ser atualizadas.

**Nome do Software Vulnerável e Versões Afetadas** Dispositivos AudioCodes Fax Server e Auto-Attendant IVR versões até e incluindo a 2.6.23 **Descrição** O componente de administração web do software controla serviços do Windows usando scripts em batch localizados em `C:F2MAdminF2EAudioCodes filesutilsServices`. Esses scripts são invocados pelo PHP usando a função `system()` sob a conta `NT AUTHORITYSYSTEM` quando determinadas ações de serviço são solicitadas através do endpoint `ajaxPost.php`. Listas de Controle de Acesso (ACLs) excessivamente permissivas permitem que qualquer usuário local autenticado modifique o conteúdo desses scripts. Ao substituir o conteúdo do script por comandos arbitrários, um atacante pode obter escalação de privilégio local quando o script modificado é executado como `SYSTEM` durante operações de início ou parada do serviço. **Recomendações** Versões anteriores à 2.6.23 devem ser usadas.

**Nome do Software Vulnerável e Versões Afetadas** Equipamentos AudioCodes Fax Server e Auto-Attendant IVR versões até e incluindo a 2.6.23 **Descrição** Os equipamentos AudioCodes Fax Server e Auto-Attendant IVR versões até e incluindo a 2.6.23 estão configurados com permissões de sistema de arquivos excessivamente permissivas para a raiz do documento web localizada em C:F2MAdminF2E. Usuários locais autenticados possuem direitos de modificação neste diretório, enquanto o processo do servidor web é executado com privilégios de SYSTEM. Isso permite que usuários locais criem ou alterem scripts do lado do servidor dentro da raiz web e, em seguida, acionem-nos via requisições HTTP, resultando em execução arbitrária de código com privilégios de SYSTEM. **Recomendações** Versões anteriores à 2.6.23 devem ser usadas.

**Nome do Software Vulnerável e Versões Afetadas** Versões do firmware do FiberHome AN5506-04-FA até e incluindo a RP2631 Versões do FiberHome HG6245D anteriores à RP2602 **Descrição** O serviço HTTP ('webs') não limita adequadamente o tamanho dos valores do cabeçalho Cookie, resultando em um estouro de buffer baseado em pilha. O processamento de um cookie superior a 511 bytes causa uma sobrescrita de um buffer na pilha, podendo levar a uma falha ou ao controle da execução. **Recomendações** Atualize o firmware do FiberHome AN5506-04-FA para uma versão superior à RP2631. Atualize o firmware do FiberHome HG6245D para a versão RP2602 ou superior.

**Nome do Software Vulnerável e Versões Afetadas** Vasion Print (anteriormente PrinterLogic) Host e Aplicação do Appliance Virtual (Implantações VA/SaaS) (versões afetadas não especificadas) **Descrição** O software armazena senhas de usuário usando hashes SHA-512 sem salt, com fallback para SHA-1 sem salt. O hashing é realizado usando a função `hash()` do PHP em vários arquivos, incluindo `server write requests users.php`, `update database.php`, `legacy/Login.php` e `tests/Unit/Api/IdpControllerTest.php`. A falta de salt por usuário torna o hashing inadequado para armazenamento de senhas, permitindo que um atacante com acesso ao banco de dados de senhas recupere senhas em texto claro através de ataques de dicionário offline ou tabela rainbow. O código inclui lógica que migra hashes SHA-1 legados para SHA-512 durante o login, potencialmente expondo usuários que ainda utilizam o hash mais antigo. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** Vasion Print (anteriormente PrinterLogic) Host e Aplicação do Appliance Virtual (implantações VA/SaaS) (versões afetadas não especificadas) **Descrição** O software armazena um número significativo de credenciais sensíveis, incluindo senhas de banco de dados, senha root do MySQL, chaves SaaS e senha de administrador do Portainer, em arquivos em texto simples que são legíveis por todos. Qualquer usuário local ou processo com acesso ao sistema de arquivos do host pode recuperar essas credenciais em texto simples, potencialmente levando ao roubo de credenciais e ao comprometimento total do appliance. O fornecedor atribui isso a um modelo de responsabilidade compartilhada, esperando que os administradores configurem a criptografia de armazenamento persistente. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** Vasion Print (anteriormente PrinterLogic) Virtual Appliance Host and Application (implantações VA/SaaS) (versões afetadas não especificadas) **Descrição** O Vasion Print Virtual Appliance Host and Application contém um usuário não documentado, `printerlogic`, com uma chave pública SSH hardcoded localizada no arquivo `~/.ssh/authorized keys`. Uma regra do sudoers concede ao grupo `printerlogic ssh` privilégios'NOPASSWD: ALL'. A posse da chave privada correspondente concede a um invasor acesso root ao appliance. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** Vasion Print (anteriormente PrinterLogic) Virtual Appliance Host versões anteriores a 25.1.102 Vasion Print (anteriormente PrinterLogic) Application versões anteriores a 25.1.1413 **Descrição** O Vasion Print (anteriormente PrinterLogic) Virtual Appliance Host e o Application são afetados por uma vulnerabilidade de falsificação de solicitação do lado do servidor (SSRF). O script `/var/www/app/console release/hp/badgeSetup.php` está acessível sem autenticação e constrói URLs a partir de parâmetros controlados pelo usuário. A função `processCurl()` e a função `file get contents()` do PHP são utilizadas sem a devida validação do hostname ou URL, permitindo que invasores façam solicitações HTTP arbitrárias para recursos internos. Isso pode levar ao reconhecimento da rede interna, vazamento de credenciais, pivoting e exfiltração de dados. O `hostname/URL` é obtido diretamente da solicitação sem quaisquer restrições. **Recomendações** Atualize o Vasion Print Virtual Appliance Host para a versão 25.1.102 ou posterior. Atualize o Vasion Print Application para a versão 25.1.1413 ou posterior.

**Nome do Software Vulnerável e Versões Afetadas** Vasion Print (anteriormente PrinterLogic) Host do Appliance Virtual versões anteriores a 25.1.102 Vasion Print (anteriormente PrinterLogic) Aplicativo versões anteriores a 25.1.1413 **Descrição** O software contém uma vulnerabilidade de falsificação de solicitação do lado do servidor (SSRF) cega acessível via o script `/var/www/app/console release/hp/log off single sign on.php`. Um usuário não autenticado pode explorá-la. O software armazena o nome do host de uma impressora na variável `printer vo->str host address` e então constrói uma URL usando este valor, enviando a solicitação com curl sem qualquer validação, lista de permissões (whitelisting) ou filtragem de rede privada. Um atacante pode sondar serviços internos, acionar ações internas ou coletar informações. **Recomendações** Atualize o Vasion Print Host do Appliance Virtual para a versão 25.1.102 ou posterior. Atualize o Vasion Print Aplicativo para a versão 25.1.1413 ou posterior.

**Name of the Vulnerable Software and Affected Versions** Vasion Print (formerly PrinterLogic) Virtual Appliance Host versions prior to 25.1.102 Vasion Print (formerly PrinterLogic) Application versions prior to 25.1.1413 **Description** The software contains a blind server-side request forgery (SSRF) issue reachable via the `/var/www/app/console release/lexmark/dellCheck.php` script. An unauthenticated user can exploit this issue. The software stores a printer’s host name in the `printer vo->str host address` variable and then builds a URL to send a request using curl without any validation, whitelisting, or private-network filtering. An attacker can probe internal services, trigger internal actions, or gather intelligence. **Recommendations** Update Vasion Print Virtual Appliance Host to version 25.1.102 or later. Update Vasion Print Application to version 25.1.1413 or later.

**Nome do Software Vulnerável e Versões Afetadas** Vasion Print (anteriormente PrinterLogic) Virtual Appliance Host versões anteriores à 25.1.102 Vasion Print (anteriormente PrinterLogic) Application versões anteriores à 25.1.1413 **Descrição** O software contém uma vulnerabilidade de falsificação de solicitação do lado do servidor (SSRF). O script `/var/www/app/console release/lexmark/update.php` está acessível pela internet sem autenticação. O script constrói URLs a partir de valores controlados pelo usuário e em seguida usa `curl exec()` ou `file get contents()` sem validação adequada. Isso permite que um atacante remoto forneça um nome de host e faça o servidor emitir solicitações para recursos internos, potencialmente permitindo reconhecimento da rede interna, pivoting ou exfiltração de dados. **Recomendações** Atualize o Vasion Print Virtual Appliance Host para a versão 25.1.102 ou posterior. Atualize o Vasion Print Application para a versão 25.1.1413 ou posterior.

**Nome do Software Vulnerável e Versões Afetadas** Vasion Print (anteriormente conhecido como PrinterLogic) Virtual Appliance Host versões anteriores a 25.1.102 Vasion Print (anteriormente conhecido como PrinterLogic) Application versões anteriores a 25.1.1413 **Descrição** O software contém uma vulnerabilidade de falsificação de solicitação do lado do servidor (SSRF). O diretório `console release` está acessível pela internet sem autenticação. Este diretório inclui vários scripts PHP que constroem URLs a partir de dados fornecidos pelo usuário e então usam `curl exec()` ou `file get contents()` sem validação suficiente. Embora alguns arquivos tentem mitigar o SSRF usando `filter var()`, essas verificações não são abrangentes. Um atacante remoto não autenticado pode fornecer um hostname, permitindo que o servidor faça solicitações a recursos internos, potencialmente possibilitando reconhecimento da rede interna, pivoting ou exfiltração de dados. **Recomendações** Atualize o Vasion Print Virtual Appliance Host para a versão 25.1.102 ou posterior. Atualize o Vasion Print Application para a versão 25.1.1413 ou posterior.

**Name of the Vulnerable Software and Affected Versions** Vasion Print (formerly PrinterLogic) Virtual Appliance Host versions prior to 25.1.102 Vasion Print (formerly PrinterLogic) Application versions prior to 25.1.1413 **Description** The software contains a blind server-side request forgery (SSRF) issue reachable via the `/var/www/app/console release/hp/installApp.php` script. An unauthenticated user can exploit this issue. The software stores a printer’s host name in the variable `$printer vo->str host address` and then builds a URL to send a request using curl without any validation, whitelisting, or private-network filtering. An attacker can probe internal services, trigger internal actions, or gather intelligence. **Recommendations** Update Vasion Print Virtual Appliance Host to version 25.1.102 or later. Update Vasion Print Application to version 25.1.1413 or later.