Ryan Pickren

**Nome do software vulnerável e versões afetadas** Versões do visionOS anteriores à 1.2 **Descrição** A vulnerabilidade está relacionada a um consumo descontrolado de recursos no componente WebKit do sistema operacional visionOS. A exploração dessa vulnerabilidade pode permitir que um invasor remoto injete objetos 3D arbitrários e provoque uma negação de serviço. O processamento de conteúdo da web pode levar a uma negação de serviço. O problema foi resolvido com melhorias no protocolo de manipulação de arquivos. **Recomendações** Para versões anteriores à 1.2, atualize para o visionOS 1.2 para resolver o problema. Como solução alternativa temporária, considere restringir o processamento de conteúdo da web para minimizar o risco de exploração.

**Name of the Vulnerable Software and Affected Versions** No specific software or versions are mentioned. **Description** A CORS misconfiguration in the web-based management allows a malicious third-party web server to misuse basic information pages, potentially leading to the disclosure of device information such as CPU diagnostics. The impact is limited to a small subset of confidentiality due to the restricted amount of readable information. **Recommendations** At the moment, there is no information about a newer version that contains a fix for this vulnerability.

**Name of the Vulnerable Software and Affected Versions** WAGO PFC100/PFC200 versions (affected versions not specified) WAGO CC100 versions (affected versions not specified) WAGO Edge Controller versions (affected versions not specified) WAGO Touch Panel 600 versions (affected versions not specified) **Description** The issue is related to the lack of authentication for a critical function in the web-based management interface, allowing an unauthenticated attacker to access and modify device parameters. This could lead to the full compromise of the device. The vulnerability may also allow a remote attacker to execute arbitrary code. **Recommendations** For WAGO PFC100/PFC200, consider restricting access to the configuration backend until a fix is available. For WAGO CC100, restrict access to critical functions that do not require authentication. For WAGO Edge Controller, limit the ability of unauthenticated users to read and set device parameters. For WAGO Touch Panel 600, disable remote access to the web-based management interface until the issue is resolved. As a temporary workaround, consider disabling critical functions that can be exploited by unauthenticated users until a patch is available.

**Name of the Vulnerable Software and Affected Versions** WAGO PFC100/PFC200 versions (affected versions not specified) WAGO CC100 versions (affected versions not specified) WAGO Edge Controller versions (affected versions not specified) WAGO Touch Panel 600 versions (affected versions not specified) **Description** The issue is related to the lack of authentication for a critical function in the configuration backend of the software. This could allow a remote attacker to write arbitrary data with root privileges, potentially leading to unauthenticated remote code execution and full system compromise. **Recommendations** For WAGO PFC100/PFC200, consider implementing authentication mechanisms for critical functions to prevent unauthorized access until a patch is available. For WAGO CC100, restrict access to the configuration backend to minimize the risk of exploitation. For WAGO Edge Controller, disable any functionality that allows writing arbitrary data with root privileges until a fix is provided. For WAGO Touch Panel 600, avoid using the configuration backend for sensitive operations until the issue is resolved. At the moment, there is no information about a newer version that contains a fix for this vulnerability.

**Name of the Vulnerable Software and Affected Versions** WAGO PFC100/PFC200 versions (affected versions not specified) WAGO CC100 versions (affected versions not specified) WAGO Edge Controller versions (affected versions not specified) WAGO Touch Panel 600 versions (affected versions not specified) **Description** The configuration backend of the web-based management interface for WAGO programmable logic controllers and touch panels is vulnerable to reflected Cross-Site Scripting (XSS) attacks. This vulnerability can be exploited by a remote attacker to conduct inter-site script attacks, potentially affecting the confidentiality and integrity of the system, but with no impact on availability. **Recommendations** For WAGO PFC100/PFC200, consider disabling the web-based management interface until a patch is available. For WAGO CC100, restrict access to the configuration backend to minimize the risk of exploitation. For WAGO Edge Controller, avoid using the web-based management interface for sensitive operations until the issue is resolved. For WAGO Touch Panel 600, as a temporary workaround, consider implementing additional security measures to protect against XSS attacks. At the moment, there is no information about a newer version that contains a fix for this vulnerability.

**Nome do software vulnerável e versões afetadas** Versões do macOS anteriores à 12.0.1 **Descrição** Foi corrigido um problema de lógica com o aprimoramento do gerenciamento de estado, que permitia que um aplicativo malicioso contornasse as verificações do Gatekeeper. Esse problema afeta o navegador Safari. **Recomendações** Para versões do macOS anteriores à 12.0.1, atualize para o macOS Monterey 12.0.1 para resolver o problema. Como solução temporária, considere restringir o uso do Safari até que a atualização seja aplicada.

**Nome do software vulnerável e versões afetadas** Versões do macOS anteriores à 12.1 Versões do macOS Big Sur anteriores à 11.6.2 Versões da Atualização de Segurança anteriores à 2021-008 Catalina **Descrição** Uma adição maliciosa de script OSAX pode contornar as verificações do Gatekeeper e as restrições da sandbox. Esse problema foi resolvido desativando a execução de JavaScript ao visualizar um dicionário de scripts. **Recomendações** Para versões do macOS anteriores à 12.1, atualize para o macOS Monterey 12.1 ou posterior. Para versões do macOS Big Sur anteriores à 11.6.2, atualize para o macOS Big Sur 11.6.2 ou posterior. Para versões da Atualização de Segurança anteriores à 2021-008 Catalina, aplique a Atualização de Segurança 2021-008 Catalina ou posterior. Como solução alternativa temporária, considere desativar a execução de JavaScript ao visualizar um dicionário de scripts até que um patch esteja disponível.

**Nome do software vulnerável e versões afetadas: Versões do iOS anteriores à 14.3 Versões do iPadOS anteriores à 14.3 Descrição: Foi corrigido um problema de lógica com o aprimoramento do gerenciamento de estado. O problema faz com que um prompt de instalação de aplicativo corporativo exiba o domínio incorreto. Recomendações: Para versões do iOS anteriores à 14.3, atualize para o iOS 14.3 ou posterior para resolver o problema. Para versões do iPadOS anteriores à 14.3, atualize para o iPadOS 14.3 ou posterior para resolver o problema.

**Nome do software vulnerável e versões afetadas: Versões do iOS anteriores à 14.4 Versões do iPadOS anteriores à 14.4 Descrição: Um problema na tela de bloqueio permitia o acesso não autorizado aos contatos em um dispositivo bloqueado. Isso era possível devido a um gerenciamento inadequado de estado. Um invasor com acesso físico ao dispositivo poderia, potencialmente, visualizar informações privadas de contato. Recomendações: Para versões do iOS anteriores à 14.4, atualize para o iOS 14.4 ou posterior para resolver o problema. Para versões do iPadOS anteriores à 14.4, atualize para o iPadOS 14.4 ou posterior para resolver o problema.

**Nome do software vulnerável e versões afetadas** Versões do Safari anteriores à 13.0.5 **Descrição** Foi corrigido um problema de lógica por meio de uma validação aprimorada. O problema envolve um esquema de URL que pode ser ignorado incorretamente ao determinar a permissão de multimídia para um site. **Recomendações** Para versões anteriores à 13.0.5, atualize para o Safari 13.0.5 para resolver o problema.

**Nome do software vulnerável e versões afetadas** Versões do iOS anteriores à 13.4 Versões do iPadOS anteriores à 13.4 Versões do macOS Catalina anteriores à 10.15.4 Versões do tvOS anteriores à 13.4 Versões do watchOS anteriores à 6.2 **Descrição** Um problema de lógica foi corrigido com restrições aprimoradas. Alguns sites podem não ter aparecido nas Preferências do Safari. **Recomendações** Para versões do iOS anteriores à 13.4, atualize para o iOS 13.4 ou posterior. Para versões do iPadOS anteriores à 13.4, atualize para o iPadOS 13.4 ou posterior. Para versões do macOS Catalina anteriores à 10.15.4, atualize para o macOS Catalina 10.15.4 ou posterior. Para versões do tvOS anteriores à 13.4, atualize para o tvOS 13.4 ou posterior. Para versões do watchOS anteriores à 6.2, atualize para o watchOS 6.2 ou posterior.

**Nome do software vulnerável e versões afetadas** Versões do iOS anteriores à 14.0 Versões do iPadOS anteriores à 14.0 Versões do tvOS anteriores à 14.0 Versões do watchOS anteriores à 7.0 Versões do Safari anteriores à 14.0 Versões do iCloud para Windows anteriores à 11.4 e 7.21 **Descrição** Um problema de validação de entrada foi corrigido com uma validação de entrada aprimorada. O processamento de conteúdo da web criado de forma maliciosa pode levar a um ataque de script entre sites. **Recomendações** Para versões do iOS anteriores à 14.0, atualize para o iOS 14.0 ou posterior. Para versões do iPadOS anteriores à 14.0, atualize para o iPadOS 14.0 ou posterior. Para versões do tvOS anteriores à 14.0, atualize para o tvOS 14.0 ou posterior. Para versões do watchOS anteriores à 7.0, atualize para o watchOS 7.0 ou posterior. Para versões do Safari anteriores à 14.0, atualize para o Safari 14.0 ou posterior. Para versões do iCloud para Windows anteriores à 11.4 e 7.21, atualize para o iCloud para Windows 11.4 ou posterior, ou 7.21 ou posterior.

**Nome do software vulnerável e versões afetadas** Versões do iOS anteriores à 13.5 Versões do iPadOS anteriores à 13.5 Versões do tvOS anteriores à 13.4.5 Versões do watchOS anteriores à 6.2.5 Versões do Safari anteriores à 13.1.1 Versões do iTunes anteriores à 12.10.7 para Windows Versões do iCloud para Windows anteriores à 11.2 e 7.19 **Descrição** O problema está relacionado à validação de entrada e pode levar a um ataque de script entre sites (cross-site scripting) ao processar conteúdo da web criado de forma maliciosa. Isso pode permitir que um invasor remoto execute ataques de script entre sites, explorando a vulnerabilidade nos módulos do WebKit para exibição de páginas da web. **Recomendações** Para versões do iOS anteriores à 13.5, atualize para o iOS 13.5 ou posterior. Para versões do iPadOS anteriores à 13.5, atualize para o iPadOS 13.5 ou posterior. Para versões do tvOS anteriores à 13.4.5, atualize para o tvOS 13.4.5 ou posterior. Para versões do watchOS anteriores à 6.2.5, atualize para o watchOS 6.2.5 ou posterior. Para versões do Safari anteriores à 13.1.1, atualize para o Safari 13.1.1 ou posterior. Para versões do iTunes anteriores à 12.10.7 para Windows, atualize para o iTunes 12.10.7 para Windows ou posterior. Para versões do iCloud para Windows anteriores à 11.2 e 7.19, atualize para o iCloud para Windows 11.2 ou 7.19 ou posterior.

**Nome do software vulnerável e versões afetadas** Versões do Safari anteriores à 13.1 **Descrição** Foi corrigido um problema de lógica com restrições aprimoradas. Um iframe malicioso pode utilizar as configurações de download de outro site. **Recomendações** Para versões anteriores à 13.1, atualize para o Safari 13.1 para resolver o problema. Como solução temporária, considere restringir o uso de iframes de fontes não confiáveis até que a atualização seja aplicada.

**Nome do software vulnerável e versões afetadas** Versões do iOS anteriores à 13.4 Versões do iPadOS anteriores à 13.4 Versões do tvOS anteriores à 13.4 Versões do Safari anteriores à 13.1 Versões do iTunes para Windows anteriores à 12.10.5 Versões do iCloud para Windows anteriores à 10.9.3 e 7.18 **Descrição** Um problema de lógica foi corrigido com restrições aprimoradas. O problema está relacionado à associação incorreta da origem de um download. A exploração desse problema pode permitir que um invasor remoto comprometa a integridade de informações protegidas. **Recomendações** Para versões do iOS anteriores à 13.4, atualize para o iOS 13.4 ou posterior. Para versões do iPadOS anteriores à 13.4, atualize para o iPadOS 13.4 ou posterior. Para versões do tvOS anteriores à 13.4, atualize para o tvOS 13.4 ou posterior. Para versões do Safari anteriores à 13.1, atualize para o Safari 13.1 ou posterior. Para versões do iTunes para Windows anteriores à 12.10.5, atualize para o iTunes para Windows 12.10.5 ou posterior. Para versões do iCloud para Windows anteriores à 10.9.3 e 7.18, atualize para o iCloud para Windows 10.9.3 ou posterior e 7.18 ou posterior.

**Nome do software vulnerável e versões afetadas** Versões do iOS anteriores à 13.4 Versões do iPadOS anteriores à 13.4 macOS (versões afetadas não especificadas) Versões do tvOS anteriores à 13.4 Versões do Safari anteriores à 13.1 Versões do iTunes para Windows anteriores à 12.10.5 Versões do iCloud para Windows anteriores à 10.9.3 e 7.18 **Descrição** O problema está relacionado a uma implementação incorreta do fluxo de controle, o que pode permitir que um invasor remoto comprometa a integridade de informações protegidas devido ao processamento incorreto de uma URL de arquivo. **Recomendações** Para versões do iOS anteriores à 13.4, atualize para o iOS 13.4 ou posterior. Para versões do iPadOS anteriores à 13.4, atualize para o iPadOS 13.4 ou posterior. Para versões do tvOS anteriores à 13.4, atualize para o tvOS 13.4 ou posterior. Para versões do Safari anteriores à 13.1, atualize para o Safari 13.1 ou posterior. Para versões do iTunes para Windows anteriores à 12.10.5, atualize para o iTunes para Windows 12.10.5 ou posterior. Para versões do iCloud para Windows anteriores à 10.9.3 e 7.18, atualize para o iCloud para Windows 10.9.3 ou 7.18 ou posterior.

**Nome do software vulnerável e versões afetadas** Versões do iOS anteriores à 13.3.1 Versões do iPadOS anteriores à 13.3.1 Versões do tvOS anteriores à 13.3.1 Versões do Safari anteriores à 13.0.5 Versões do iTunes para Windows anteriores à 12.10.4 Versões do iCloud para Windows anteriores à 11.0 Versões do iCloud para Windows anteriores à 7.17 **Descrição** O problema está relacionado a várias falhas de corrupção de memória que foram corrigidas com um gerenciamento de memória aprimorado. O processamento de conteúdo da web criado de forma maliciosa pode levar à execução de código arbitrário. **Recomendações** Para versões do iOS anteriores à 13.3.1, atualize para o iOS 13.3.1 ou posterior. Para versões do iPadOS anteriores à 13.3.1, atualize para o iPadOS 13.3.1 ou posterior. Para versões do tvOS anteriores à 13.3.1, atualize para o tvOS 13.3.1 ou posterior. Para versões do Safari anteriores à 13.0.5, atualize para o Safari 13.0.5 ou posterior. Para versões do iTunes para Windows anteriores à 12.10.4, atualize para o iTunes para Windows 12.10.4 ou posterior. Para versões do iCloud para Windows anteriores à 11.0, atualize para o iCloud para Windows 11.0 ou posterior. Para versões do iCloud para Windows anteriores à 7.17, atualize para o iCloud para Windows 7.17 ou posterior.

**Nome do software vulnerável e versões afetadas** iCloud para Windows, versões anteriores à 7.17 iTunes para Windows, versões anteriores à 12.10.4 iCloud para Windows, versões anteriores à 10.9.2 tvOS, versões anteriores à 13.3.1 Safari, versões anteriores à 13.0.5 iOS, versões anteriores à 13.3.1 Versões do iPadOS anteriores à 13.3.1 **Descrição** Um problema de lógica foi corrigido com validação aprimorada. O problema envolve um contexto de objeto DOM que pode não ter uma origem de segurança exclusiva, permitindo potencialmente que invasores afetem o sistema. **Recomendações** Para versões do iCloud para Windows anteriores à 7.17, atualize para a versão 7.17 ou posterior. Para versões do iTunes para Windows anteriores à 12.10.4, atualize para a versão 12.10.4 ou posterior. Para versões do iCloud para Windows anteriores à 10.9.2, atualize para a versão 10.9.2 ou posterior. Para versões do tvOS anteriores à 13.3.1, atualize para a versão 13.3.1 ou posterior. Para versões do Safari anteriores à 13.0.5, atualize para a versão 13.0.5 ou posterior. Para versões do iOS anteriores à 13.3.1, atualize para a versão 13.3.1 ou posterior. Para versões do iPadOS anteriores à 13.3.1, atualize para a versão 13.3.1 ou posterior.

**Name of the Vulnerable Software and Affected Versions** iOS versions prior to 12.2 **Description** A permissions issue existed in the handling of motion and orientation data, allowing a website to access sensor information without user consent. This issue was addressed with improved restrictions. **Recommendations** For iOS versions prior to 12.2, update to iOS 12.2 to resolve the issue.

**Name of the Vulnerable Software and Affected Versions** iOS versions prior to 12.2 Safari versions prior to 12.1 **Description** A logic issue was addressed with improved validation. Enabling the Safari Reader feature on a maliciously crafted webpage may lead to universal cross site scripting. **Recommendations** For iOS versions prior to 12.2, update to iOS 12.2 to resolve the issue. For Safari versions prior to 12.1, update to Safari 12.1 to resolve the issue. As a temporary workaround, consider disabling the Safari Reader feature until a patch is available.