S. Robertz

**Nome do software vulnerável e versões afetadas** Versões do dbus-broker anteriores à 31 **Descrição** Foi detectada uma falha no dbus-broker, que depende do c-uitl/c-shquote para analisar a linha Exec do serviço DBus. O c-shquote contém uma vulnerabilidade de leitura excessiva do buffer baseada na pilha caso seja fornecida uma linha Exec maliciosa. **Recomendações** Para versões anteriores à 31, atualize para a versão 31 ou posterior para resolver o problema. Como solução alternativa temporária, considere restringir o uso da linha Exec na configuração do serviço DBus para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Versões do dbus-broker anteriores à 31 **Descrição** Foi detectada uma falha no dbus-broker que pode causar múltiplas referências a ponteiros nulos quando é fornecido um arquivo de configuração XML malformado. **Recomendações** Para versões anteriores à 31, atualize para a versão 31 ou posterior para resolver o problema.

**Nome do software vulnerável e versões afetadas** Infiray IRAY-A8Z3 versão 1.0.957 **Descrição** Foi detectada uma falha no arquivo binário /usr/local/sbin/webproject/set param.cgi, que contém credenciais codificadas de forma rígida para o aplicativo web. Essas contas são consideradas contas de backdoor, pois não podem ser desativadas nem ter suas senhas alteradas. A exploração dessa vulnerabilidade pode permitir que um invasor remoto eleve seus privilégios. **Recomendações** Para o Infiray IRAY-A8Z3 versão 1.0.957, considere desativar o acesso ao arquivo /usr/local/sbin/webproject/set param.cgi até que um patch esteja disponível para remover as credenciais codificadas. Restrinja o acesso ao aplicativo web para minimizar o risco de exploração. Evite usar as contas afetadas até que a vulnerabilidade seja resolvida. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Infiray IRAY-A8Z3 versão 1.0.957 **Descrição** O problema está relacionado a um possível estouro de buffer no firmware do Infiray IRAY-A8Z3, causado pela chamada da função `strcpy()` sem a verificação prévia do comprimento da string. Isso poderia permitir que um invasor remoto executasse código arbitrário. **Recomendações** Para o Infiray IRAY-A8Z3 versão 1.0.957, considere desativar o uso da função `strcpy()` até que um patch esteja disponível para evitar a exploração de um possível estouro de buffer. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Infiray IRAY-A8Z3 versão 1.0.957 **Descrição** O problema está relacionado ao servidor web do Infiray IRAY-A8Z3, que contém um endpoint capaz de executar comandos arbitrários. Isso pode ser feito através da manipulação do parâmetro de URL `cmd string`. A vulnerabilidade está associada a um gerenciamento incorreto da geração de código, permitindo que um invasor execute código arbitrário usando o parâmetro `cmd string`. **Recomendações** Para o Infiray IRAY-A8Z3 versão 1.0.957, como solução temporária, considere restringir o acesso ao endpoint vulnerável ou desativar o uso do parâmetro `cmd string` até que um patch esteja disponível. Evite usar o parâmetro `cmd string` no endpoint da API afetado até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Infiray IRAY-A8Z3 versão 1.0.957 **Descrição** Foi detectada uma falha no Infiray IRAY-A8Z3, na qual a senha de root para o TELNET está em branco por padrão. Isso permite que um invasor obtenha privilégios de root ao se conectar pela porta 23. **Recomendações** Para o Infiray IRAY-A8Z3 versão 1.0.957, considere alterar a senha de root para o TELNET a fim de impedir o acesso não autorizado. Como solução temporária, restrinja o acesso à porta 23 para minimizar o risco de exploração.