Ryo Sato

Nome do software vulnerável e versões afetadas: Aplicativo Skylark para Android, versões 6.2.13 e anteriores Aplicativo Skylark para iOS, versões 6.2.13 e anteriores Descrição: O problema está relacionado à autorização inadequada no manipulador de um esquema de URL personalizado, permitindo que um invasor induza o aplicativo a acessar um site arbitrário por meio de outro aplicativo instalado no dispositivo do usuário. Recomendações: Para o aplicativo Skylark para Android nas versões 6.2.13 e anteriores, considere restringir o acesso a esquemas de URL personalizados até que uma correção esteja disponível. Para o aplicativo Skylark para iOS nas versões 6.2.13 e anteriores, considere restringir o acesso a esquemas de URL personalizados até que uma correção esteja disponível. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Name of the Vulnerable Software and Affected Versions** LIQUID SPEECH BALLOON versions prior to 1.2 **Description** A cross-site request forgery (CSRF) issue allows a remote unauthenticated attacker to hijack the authentication of a user and perform unintended operations by having a user view a malicious page. **Recommendations** For versions prior to 1.2, update to version 1.2 or later to resolve the issue. As a temporary workaround, consider implementing CSRF tokens or other anti-CSRF measures to minimize the risk of exploitation.

**Name of the Vulnerable Software and Affected Versions** Driver Distributor versions 2.2.3.1 and earlier **Description** The issue concerns a vulnerability where passwords are stored in a recoverable format. If an attacker obtains a configuration file of Driver Distributor, the encrypted administrator's credentials may be decrypted. **Recommendations** For Driver Distributor versions 2.2.3.1 and earlier, consider updating to a newer version that addresses the issue of storing passwords in a recoverable format. As a temporary workaround, restrict access to configuration files to minimize the risk of exploitation. At the moment, there is no information about a newer version that contains a fix for this vulnerability.

**Nome do software vulnerável e versões afetadas** Aplicativo Lemon8 para Android em versões anteriores à 3.3.5 Aplicativo Lemon8 para iOS em versões anteriores à 3.3.5 **Descrição** O problema está relacionado a uma autorização inadequada no manipulador de um esquema de URL personalizado, permitindo que um invasor remoto induza um usuário a acessar um site arbitrário por meio do aplicativo vulnerável. Isso pode fazer com que o usuário seja vítima de um ataque de phishing. **Recomendações** Para o aplicativo Lemon8 para Android em versões anteriores à 3.3.5, atualize para a versão 3.3.5 ou posterior. Para o aplicativo Lemon8 para iOS em versões anteriores à 3.3.5, atualize para a versão 3.3.5 ou posterior.

**Nome do software vulnerável e versões afetadas** Aplicativo Hulu para Android, versões 3.0.47 a 3.1.1 **Descrição** O problema diz respeito ao uso de uma chave de API codificada de forma rígida para um serviço externo no aplicativo Hulu para Android. Isso poderia permitir que a chave de API fosse obtida por meio da análise dos dados do aplicativo, comprometendo assim a segurança do serviço externo. **Recomendações** Para o aplicativo Hulu para Android, versões 3.0.47 a 3.1.1, considere atualizar para a versão 3.1.2 ou posterior para resolver o problema.

**Nome do software vulnerável e versões afetadas: GroupSession Free Edition, versões 2.2.0 a 5.0.x GroupSession byCloud, versões 3.0.3 a 5.0.x GroupSession ZION, versões 3.0.3 a 5.0.x Descrição: Uma vulnerabilidade de cross-site scripting permite que um invasor remoto injete um script arbitrário enviando uma solicitação especialmente criada para uma URL específica. Recomendações: Para as versões 2.2.0 a 5.0.x do GroupSession Free Edition, atualize para a versão 5.1.0 ou posterior. Para as versões 3.0.3 a 5.0.x do GroupSession byCloud, atualize para a versão 5.1.0 ou posterior. Para as versões 3.0.3 a 5.0.x do GroupSession ZION, atualize para a versão 5.1.0 ou posterior.

**Nome do software vulnerável e versões afetadas: GroupSession Free Edition, versões 2.2.0 a 5.1.0 GroupSession byCloud, versões 3.0.3 a 5.1.0 GroupSession ZION, versões 3.0.3 a 5.1.0 Descrição: Uma vulnerabilidade de falsificação de solicitação do lado do servidor (SSRF) permite que um invasor remoto autenticado realize uma varredura de portas a partir do produto e/ou obtenha informações do servidor Web interno. Recomendações: Para as versões 2.2.0 a 5.1.0 do GroupSession Free Edition, atualize para a versão 5.1.0 ou posterior. Para as versões 3.0.3 a 5.1.0 do GroupSession byCloud, atualize para a versão 5.1.0 ou posterior. Para as versões 3.0.3 a 5.1.0 do GroupSession ZION, atualize para a versão 5.1.0 ou posterior.

**Nome do software vulnerável e versões afetadas: GroupSession Free Edition, versões 2.2.0 a 5.1.0 GroupSession byCloud, versões 3.0.3 a 5.1.0 GroupSession ZION, versões 3.0.3 a 5.1.0 Descrição: A vulnerabilidade permite que um invasor remoto redirecione um usuário para um site arbitrário e realize um ataque de phishing por meio de uma URL especialmente criada. Recomendações: Para as versões 2.2.0 a 5.1.0 do GroupSession Free Edition, atualize para a versão 5.1.0 ou posterior. Para as versões 3.0.3 a 5.1.0 do GroupSession byCloud, atualize para a versão 5.1.0 ou posterior. Para as versões 3.0.3 a 5.1.0 do GroupSession ZION, atualize para a versão 5.1.0 ou posterior.

**Nome do software vulnerável e versões afetadas: Aplicativo Retty para Android em versões anteriores à 4.8.13 Aplicativo Retty para iOS em versões anteriores à 4.11.14 Descrição: O problema diz respeito ao uso de uma chave de API codificada de forma rígida para um serviço externo no aplicativo Retty. Isso poderia permitir que a chave de API fosse obtida através da análise de dados no aplicativo, levando potencialmente à sua exploração. Recomendações: Para o aplicativo Retty para Android em versões anteriores à 4.8.13, atualize para a versão 4.8.13 ou posterior. Para o aplicativo Retty para iOS em versões anteriores à 4.11.14, atualize para a versão 4.11.14 ou posterior.

**Nome do software vulnerável e versões afetadas: Aplicativo Retty para Android em versões anteriores à 4.8.13 Aplicativo Retty para iOS em versões anteriores à 4.11.14 Descrição: O problema está relacionado a uma autorização inadequada no manipulador de um esquema de URL personalizado, permitindo que um invasor remoto induza um usuário a acessar um site arbitrário por meio do aplicativo vulnerável. Recomendações: Para o aplicativo Retty para Android em versões anteriores à 4.8.13, atualize para a versão 4.8.13 ou posterior. Para o aplicativo Retty para iOS em versões anteriores à 4.11.14, atualize para a versão 4.11.14 ou posterior.

**Nome do software vulnerável e versões afetadas: Aplicativo Hot Pepper Gourmet para Android, versões 4.111.0 e anteriores Aplicativo Hot Pepper Gourmet para iOS, versões 4.111.0 e anteriores Descrição: O problema está relacionado a um controle de acesso inadequado, permitindo que um invasor remoto induza um usuário a acessar um site arbitrário por meio do aplicativo vulnerável. Recomendações: Para o aplicativo Hot Pepper Gourmet para Android nas versões 4.111.0 e anteriores, atualize para uma versão posterior à 4.111.0. Para o aplicativo Hot Pepper Gourmet para iOS nas versões 4.111.0 e anteriores, atualize para uma versão posterior à 4.111.0.

**Nome do software vulnerável e versões afetadas: Aplicativo Gurunavi para Android, versões 10.0.10 e anteriores Aplicativo Gurunavi para iOS, versões 11.1.2 e anteriores Descrição: A vulnerabilidade permite que um invasor remoto induza um usuário a acessar um site arbitrário por meio do aplicativo vulnerável. Isso se deve a uma falha no controle de acesso. Recomendações: Para o aplicativo Gurunavi para Android nas versões 10.0.10 e anteriores, atualize para uma versão posterior à 10.0.10 para resolver o problema. Para o aplicativo Gurunavi para iOS nas versões 11.1.2 e anteriores, atualize para uma versão posterior à 11.1.2 para resolver o problema.

**Nome do software vulnerável e versões afetadas: ELECOM WRC-1467GHBK-A (versões afetadas não especificadas) Descrição: A vulnerabilidade permite a execução de scripts arbitrários no navegador do usuário mediante a exibição de um SSID especialmente criado na página de configuração da web. Recomendações: No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** desknet's NEO versões 5.5 R1.5 e anteriores **Descrição** Uma vulnerabilidade de cross-site scripting permite que invasores remotos injetem scripts arbitrários por meio de vetores não especificados. **Recomendações** Para as versões 5.5 R1.5 e anteriores do desknet's NEO, no momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Aplicativo Studyplus para Android, versões 6.3.7 e anteriores Aplicativo Studyplus para iOS, versões 8.29.0 e anteriores **Descrição** O problema diz respeito ao uso de uma chave de API codificada de forma rígida para um serviço externo nos aplicativos afetados. Isso poderia permitir que a chave de API fosse obtida por meio da análise de dados dentro do aplicativo. **Recomendações** Para o aplicativo Studyplus para Android nas versões 6.3.7 e anteriores, considere remover ou armazenar com segurança a chave API codificada até que uma correção esteja disponível. Para o aplicativo Studyplus para iOS nas versões 8.29.0 e anteriores, considere remover ou armazenar com segurança a chave API codificada até que uma correção esteja disponível.

**Name of the Vulnerable Software and Affected Versions** NTT 050 plus versions prior to 4.2.1 **Description** The issue allows attackers to obtain sensitive information by leveraging the ability to read system log files. **Recommendations** For versions prior to 4.2.1, update to version 4.2.1 or later to resolve the issue.