Pietro Oliva

**Nome do software vulnerável e versões afetadas** ReadyTalk Avian versão 1.2.0 **Descrição** Foi detectada uma falha no método `vm::arrayCopy`, definido em `classpath-common.h`, que contém várias verificações de limites para impedir a leitura/gravação fora dos limites da memória. No entanto, duas dessas verificações de limites contêm um estouro de inteiro que leva à contornamento dessas verificações e à leitura/gravação fora dos limites. Esta falha afeta apenas produtos que não são mais suportados pelo mantenedor. **Recomendações** Para o ReadyTalk Avian versão 1.2.0, no momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** ReadyTalk Avian versão 1.2.0 **Descrição** Foi detectada uma falha no método `vm::arrayCopy`, definido em `classpath-common.h`, que retorna silenciosamente quando é fornecido um comprimento negativo, em vez de lançar uma exceção. Isso pode resultar na perda de dados durante a cópia, com consequências variáveis dependendo do uso subsequente do buffer de destino. O problema afeta apenas produtos que não são mais suportados pelo mantenedor. **Recomendações** Para o ReadyTalk Avian versão 1.2.0, considere desativar o método `vm::arrayCopy` até que um patch esteja disponível ou aplique medidas alternativas de mitigação para evitar uma possível perda de dados. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** TP-Link NC200 versão 2.1.9 compilação 200225 TP-Link NC210 versão 1.0.9 compilação 200304 TP-Link NC220 versão 1.3.0 compilação 200304 TP-Link NC230 versão 1.3.0 build 200304 TP-Link NC250 versão 1.3.0 build 200304 TP-Link NC260 versão 1.5.2 build 200304 TP-Link NC450 versão 1.5.3 build 200304 **Descrição** A vulnerabilidade permite a injeção de comandos em determinados dispositivos TP-Link. **Recomendações** Para o TP-Link NC200 versão 2.1.9 build 200225, atualize para uma versão mais recente para mitigar o risco. Para o TP-Link NC210 versão 1.0.9 build 200304, atualize para uma versão mais recente para mitigar o risco. Para o TP-Link NC220 versão 1.3.0 build 200304, atualize para uma versão mais recente para mitigar o risco. Para o TP-Link NC230 versão 1.3.0 build 200304, atualize para uma versão mais recente para mitigar o risco. Para o TP-Link NC250 versão 1.3.0 build 200304, atualize para uma versão mais recente para mitigar o risco. Para o TP-Link NC260 versão 1.5.2 build 200304, atualize para uma versão mais recente para mitigar o risco. Para o TP-Link NC450 versão 1.5.3 build 200304, atualize para uma versão mais recente para mitigar o risco.

**Nome do software vulnerável e versões afetadas** TP-Link NC200 versão 2.1.9 compilação 200225 TP-Link N210 versão 1.0.9 compilação 200304 TP-Link NC220 versão 1.3.0 compilação 200304 TP-Link NC230 versão 1.3.0 build 200304 TP-Link NC250 versão 1.3.0 build 200304 TP-Link NC260 versão 1.5.2 build 200304 TP-Link NC450 versão 1.5.3 build 200304 **Descrição** O problema está relacionado a uma chave de criptografia codificada em determinados dispositivos TP-Link. **Recomendações** Para o TP-Link NC200 versão 2.1.9 build 200225, considere atualizar para uma versão mais recente. Para o TP-Link N210 versão 1.0.9 build 200304, considere atualizar para uma versão mais recente. Para o TP-Link NC220 versão 1.3.0 build 200304, considere atualizar para uma versão mais recente. Para o TP-Link NC230 versão 1.3.0 build 200304, considere atualizar para uma versão mais recente. Para o TP-Link NC250 versão 1.3.0 build 200304, considere atualizar para uma versão mais recente. Para o TP-Link NC260 versão 1.5.2 build 200304, considere atualizar para uma versão mais recente. Para o TP-Link NC450 versão 1.5.3 build 200304, considere atualizar para uma versão mais recente. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** TP-Link NC260 versão 1.5.2 compilação 200304 TP-Link NC450 versão 1.5.3 compilação 200304 **Descrição** A falha permite a injeção de comandos, o que pode ser explorado por invasores. Isso afeta determinados dispositivos TP-Link. **Recomendações** Para o TP-Link NC260 versão 1.5.2 build 200304, atualize para uma versão mais recente que contenha uma correção para este problema. Para o TP-Link NC450 versão 1.5.3 build 200304, atualize para uma versão mais recente que contenha uma correção para este problema. Como solução temporária, considere restringir o acesso aos dispositivos afetados até que um patch esteja disponível.

**Nome do software vulnerável e versões afetadas** TP-Link NC200 versões 2.1.8 Build 171109 e anteriores TP-Link NC210 versões 1.0.9 Build 171214 e anteriores TP-Link NC220 versões 1.3.0 Build 180105 e anteriores TP-Link NC230 versões 1.3.0 Build 171205 e anteriores TP-Link NC250 versões 1.3.0 Build 171205 e anteriores TP-Link NC260 versões 1.5.1 Build 190805 e anteriores TP-Link NC450 versões 1.5.0 Build 181022 e anteriores **Descrição** A vulnerabilidade permite uma referência a ponteiro nulo remota. Isso significa que um invasor poderia potencialmente causar a falha ou a instabilidade de um dispositivo enviando um tipo específico de solicitação ao dispositivo. **Recomendações** Para as versões 2.1.8 Build 171109 e anteriores do TP-Link NC200, atualize para uma versão posterior à 2.1.8 Build 171109. Para as versões 1.0.9 Build 171214 e anteriores do TP-Link NC210, atualize para uma versão posterior à 1.0.9 Build 171214. Para as versões 1.3.0 Build 180105 e anteriores do TP-Link NC220, atualize para uma versão posterior à 1.3.0 Build 180105. Para as versões 1.3.0 Build 171205 e anteriores do TP-Link NC230, atualize para uma versão posterior à 1.3.0 Build 171205. Para as versões 1.3.0 Build 171205 e anteriores do TP-Link NC250, atualize para uma versão posterior à 1.3.0 Build 171205. Para as versões 1.5.1 Build 190805 e anteriores do TP-Link NC260, atualize para uma versão posterior à 1.5.1 Build 190805. Para as versões 1.5.0 Build 181022 e anteriores do TP-Link NC450, atualize para uma versão posterior à 1.5.0 Build 181022.

**Name of the Vulnerable Software and Affected Versions** Buddypress plugin versions prior to 1.9.2 **Description** The issue concerns a missing permissions check in the group creation process of the Buddypress plugin, allowing remote authenticated users to gain control of arbitrary groups. **Recommendations** For versions prior to 1.9.2, update to version 1.9.2 or later to resolve the issue.

**Name of the Vulnerable Software and Affected Versions** WordPress Pods plugin versions prior to 2.5 **Description** A cross-site scripting (XSS) issue allows remote attackers to inject arbitrary web script or HTML via the `id` parameter in an edit action in the pods page to "wp-admin/admin.php". **Recommendations** For WordPress Pods plugin versions prior to 2.5, update to version 2.5 or later to resolve the issue.

**Name of the Vulnerable Software and Affected Versions** BulletProof Security plugin versions prior to .51.1 **Description** A server-side request forgery (SSRF) issue allows remote attackers to trigger outbound requests that authenticate to arbitrary databases via the `dbhost` parameter in the admin/htaccess/bpsunlock.php file. **Recommendations** For versions prior to .51.1, update to version .51.1 or later to resolve the issue. As a temporary workaround, consider restricting access to the admin/htaccess/bpsunlock.php file to minimize the risk of exploitation. Avoid using the `dbhost` parameter in the affected file until the issue is resolved.