Pizza Power

**Nome do software vulnerável e versões afetadas** Arobas Music Guitar Pro para iPad e iPhone, versões anteriores à 1.10.2 **Descrição** Uma vulnerabilidade de script entre sites (XSS) permite que invasores executem scripts da web ou HTML arbitrários por meio de uma carga maliciosa inserida no nome de um arquivo enviado. **Recomendações** Para versões anteriores à 1.10.2, atualize para a versão 1.10.2 ou posterior para resolver o problema. Como solução temporária, considere restringir o upload de arquivos com nomes potencialmente maliciosos para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Arobas Music Guitar Pro para iPad e iPhone, versões anteriores à 1.10.2 **Descrição** A vulnerabilidade permite que invasores realizem traversal de diretório e baixem arquivos arbitrários por meio de uma solicitação web maliciosa. **Recomendações** Para versões anteriores à 1.10.2, atualize para a versão 1.10.2 ou posterior para resolver o problema.

**Nome do software vulnerável e versões afetadas** Estações meteorológicas da série Ecowitt GW1100, versões <=GW1100B v2.1.5 **Descrição** Uma falha no controle de acesso permite que invasores não autenticados acessem informações confidenciais, incluindo senhas do dispositivo e da rede Wi-Fi local. **Recomendações** Para as estações meteorológicas da série Ecowitt GW1100, versões <=GW1100B v2.1.5, atualize para uma versão posterior à GW1100B v2.1.5 para resolver o problema.

**Nome do software vulnerável e versões afetadas** MotionEye versões 0.42.1 e anteriores **Descrição** A vulnerabilidade permite que invasores acessem informações confidenciais por meio de uma solicitação GET para “/config/list”. Para explorar essa vulnerabilidade, a senha de um usuário comum deve estar desconfigurada. **Recomendações** Para as versões 0.42.1 e anteriores do MotionEye, como solução temporária, considere restringir o acesso ao endpoint “/config/list” até que um patch esteja disponível. Evite usar senhas de usuário comum não configuradas na configuração afetada para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** MotionEye versões 0.42.1 e anteriores MotionEyeOS versões 20200606 e anteriores **Descrição** A vulnerabilidade permite que um invasor remoto envie um arquivo de backup de configuração contendo um arquivo Python pickle malicioso, o que executará código arbitrário no servidor. Isso pode ocorrer quando uma instalação é acessível pela Internet e utiliza credenciais de autenticação inexistentes ou fracas. **Recomendações** Para as versões 0.42.1 e anteriores do MotionEye, considere manter a instalação fora da Internet e use credenciais fortes para fornecer proteção contra este problema. Para as versões 20200606 e anteriores do MotionEyeOS, considere manter a instalação fora da Internet e use credenciais fortes para fornecer proteção contra este problema. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Manuskript versões 0.12.0 e anteriores **Descrição** O problema está relacionado à deserialização insegura por meio da função `pickle.load()` no arquivo settings.py, permitindo que invasores remotos executem código arbitrário ao criar um arquivo settings.pickle em um arquivo de projeto. Isso pode potencialmente levar ao acesso não autorizado a dados confidenciais, à violação da integridade dos dados e à negação de serviço. A posição do fornecedor é que o produto não se destina à abertura de arquivos de projeto não confiáveis. **Recomendações** Para as versões 0.12.0 e anteriores do Manuskript, considere desativar a função `pickle.load()` no arquivo settings.py como uma solução temporária até que um patch esteja disponível. Restrinja o acesso a arquivos de projeto não confiáveis para minimizar o risco de exploração. Evite usar a função `pickle.load()` com dados não confiáveis até que o problema seja resolvido.