Shaikh Shahnawaz

Nome do Software Vulnerável e Versões Afetadas: RSI Queue Management System versão 3.0 Descrição: Existe uma vulnerabilidade de injeção SQL blind não autenticada no parâmetro `TaskID` do manipulador de requisições GET. Isso permite que atacantes injetem remotamente payloads SQL com atraso de tempo, induzindo atrasos na resposta do servidor e permitindo inferência baseada em tempo e extração iterativa de conteúdos sensíveis do banco de dados sem autenticação. Recomendações: Para o RSI Queue Management System versão 3.0, considere desativar o parâmetro `TaskID` no manipulador de requisições GET até que um patch esteja disponível. Restrinja o acesso ao manipulador de requisições GET para minimizar o risco de exploração. Evite utilizar o parâmetro `TaskID` até que o problema seja resolvido.

**Name of the Vulnerable Software and Affected Versions** Quorum onQ OS version 6.0.0.5.2064 **Description** The issue allows a remote attacker to obtain sensitive information via the `msg` parameter in the "Login page" API endpoint. This is a Cross Site Scripting vulnerability. **Recommendations** For Quorum onQ OS version 6.0.0.5.2064, consider disabling the `msg` parameter in the Login page until a patch is available. Restrict access to the Login page to minimize the risk of exploitation. Avoid using the `msg` parameter in the affected API endpoint until the issue is resolved.

Nome do Software Vulnerável e Versões Afetadas: AutoLib Software Systems OPAC versão 20.10 Descrição: O problema envolve chaves de API expostas no código-fonte. Atacantes podem utilizar essas chaves para acessar a API de back-end ou outras informações sensíveis. Recomendações: Para o AutoLib Software Systems OPAC versão 20.10, remova ou armazene de forma segura as chaves de API expostas para evitar acesso não autorizado à API de back-end ou a informações sensíveis. Considere regenerar novas chaves de API e atualizar o código-fonte para utilizar essas novas chaves. Como medida de contorno temporária, considere restringir o acesso à API de back-end até que o problema seja resolvido.

**Nome do software vulnerável e versões afetadas** TP-Link JetStream Smart Switch TL-SG2210P versão 5.0 Build 20211201 **Descrição** O problema está relacionado a um controle de acesso inadequado, permitindo que invasores aumentem seus privilégios por meio da modificação dos valores `tid` e `usrlvl` em solicitações GET. Isso pode permitir que um invasor remoto obtenha acesso com privilégios elevados. **Recomendações** Para o TP-Link JetStream Smart Switch TL-SG2210P versão 5.0 Build 20211201, como solução temporária, considere restringir o acesso aos pontos de extremidade da API vulneráveis que aceitam os parâmetros `tid` e `usrlvl` em solicitações GET até que um patch esteja disponível. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.