Safvan Parakkal

**Nome do Software Vulnerável e Versões Afetadas** Zenitel AlphaWeb XE versão 11.2.3.10 **Descrição** Uma falha no componente /php/script uploads.php permite que invasores executem um directory traversal. **Recomendações** Para o Zenitel AlphaWeb XE versão 11.2.3.10, considere restringir o acesso ao componente /php/script uploads.php até que um patch esteja disponível. Como solução alternativa temporária, evite usar o componente vulnerável para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Name of the Vulnerable Software and Affected Versions** Zenitel AlphaWeb XE version 11.2.3.10 **Description** The issue is related to a local file inclusion vulnerability. It affects the component `amc uploads.php`. There is no information provided about the estimated number of potentially affected devices worldwide or real-world incidents where this issue was exploited. **Recommendations** For Zenitel AlphaWeb XE version 11.2.3.10, consider restricting access to the `amc uploads.php` component to minimize the risk of exploitation. At the moment, there is no information about a newer version that contains a fix for this vulnerability.

**Nome do software vulnerável e versões afetadas** Tablet interativo Hikvision DS-D5B86RB/B, versão 2.3.0, compilação 220119 **Descrição** Configurações padrão inseguras no Tablet Interativo Hikvision permitem que invasores executem comandos arbitrários. **Recomendações** Para a versão 2.3.0 build220119, considere alterar as configurações padrão para configurações seguras a fim de impedir a execução de comandos arbitrários. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** INOTEC Sicherheitstechnik WebServer CPS220/64 versão 3.3.19 **Descrição** A vulnerabilidade permite que um invasor remoto leia arquivos arbitrários por meio de traversal de caminho absoluto. Por exemplo, usando a URI “/cgi-bin/display?file=/etc/passwd”, um invasor pode acessar arquivos confidenciais. Também há menção à possível execução de código por meio do arquivo /etc/passwd, embora o principal impacto descrito seja a leitura de arquivos. **Recomendações** Para o INOTEC Sicherheitstechnik WebServer CPS220/64 versão 3.3.19, considere restringir o acesso ao endpoint da API /cgi-bin/display para minimizar o risco de exploração. Evite usar o parâmetro `file` neste endpoint até que a vulnerabilidade seja resolvida. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.