Qiuhui

Nome do software vulnerável e versões afetadas: Ruijie EG2000K versão 11.1(6)B2 Descrição: Foi identificada uma falha crítica que afeta código desconhecido do arquivo /tool/index.php?c=download&a=save. A manipulação do argumento `content` permite o envio de arquivos sem restrições. O ataque pode ser iniciado remotamente. A exploração foi divulgada ao público e pode estar em uso. O fornecedor foi contatado antecipadamente sobre essa divulgação, mas não respondeu de forma alguma. Recomendações: Para o Ruijie EG2000K versão 11.1(6)B2, como solução temporária, considere desativar o endpoint `/tool/index.php?c=download&a=save` até que uma correção esteja disponível. Restrinja o acesso a este endpoint para minimizar o risco de exploração. Evite usar o argumento `content` no endpoint afetado até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para este problema.

**Name of the Vulnerable Software and Affected Versions** Dahua Smart Park Management versions up to 20230713 **Description** The issue is related to an unrestricted file upload vulnerability in the /emap/devicePoint addImgIco?hasSubsystem=true file, which can be exploited remotely. This vulnerability allows an attacker to execute arbitrary code. The manipulation of the `upload` argument leads to this unrestricted upload. The exploit has been disclosed to the public and may be used. **Recommendations** For versions up to 20230713, as a temporary workaround, consider restricting access to the /emap/devicePoint addImgIco?hasSubsystem=true endpoint to minimize the risk of exploitation. Avoid using the `upload` argument in this endpoint until the issue is resolved. At the moment, there is no information about a newer version that contains a fix for this vulnerability.