Sam Sabetan

**Nome do software vulnerável e versões afetadas: Versões do Tesla SolarCity Solar Monitoring Gateway até a 5.46.43 Descrição: O problema está relacionado ao uso de credenciais codificadas de forma rígida. Especificamente, o Digi ConnectPort X2e utiliza um arquivo .pyc para armazenar a senha em texto simples da conta de usuário `python`. Recomendações: Para as versões do Tesla SolarCity Solar Monitoring Gateway até a 5.46.43, considere remover ou armazenar com segurança as credenciais codificadas no arquivo .pyc usado pelo Digi ConnectPort X2e para mitigar o risco. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Versões do Digi ConnectPort X2e anteriores à 3.2.30.6 **Descrição** A vulnerabilidade permite que um invasor eleve seus privilégios do usuário python para root por meio de um ataque de link simbólico que utiliza o comando chown, relacionado ao arquivo /etc/init.d/S50dropbear.sh e ao diretório /WEB/python/.ssh. **Recomendações** Para versões anteriores à 3.2.30.6, atualize para a versão 3.2.30.6 ou posterior para resolver o problema. Como solução alternativa temporária, considere restringir o acesso ao diretório /WEB/python/.ssh e ao script S50dropbear.sh para minimizar o risco de exploração.