Shinycolumn

#7686de 53,624
35.8CVSS total
Vulnerabilidades · 4
Alta
3
Crítica
1
PT-2025-37564
9.8
2025-09-15
Avtech · Avtech Eagleeyes · CVE-2025-46408
**Nome do Software Vulnerável e Versões Afetadas** AVTECH EagleEyes versão 2.0.0 **Descrição** Foi descoberto um problema no método `GetHttpsResponse` de `push.lite.avtech.com.AvtechLib` e no método `getNewHttpClient` de `push.lite.avtech.com.Push HttpService`. Esses métodos definem `ALLOW ALL HOSTNAME VERIFIER`, contornando a validação de domínio. **Recomendações** Atualize o AVTECH EagleEyes para uma versão mais recente que solucione este problema. Como solução temporária, considere desabilitar o uso dos métodos `GetHttpsResponse` e `getNewHttpClient` até que uma correção esteja disponível.
PT-2025-37565
8.8
2025-09-15
Avtech · Avtech Eagleeyes Lite · CVE-2025-50110
**Nome do Software Vulnerável e Versões Afetadas** AVTECH EagleEyes Lite versão 2.0.0 **Descrição** O método `GetHttpsResponse` transmite informações sensíveis – incluindo URLs de servidores internos, IDs de conta, senhas e tokens de dispositivo – como parâmetros de consulta em texto simples via HTTPS. O endpoint de API afetado é `push.lite.avtech.com.AvtechLib.GetHttpsResponse`. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.
PT-2025-37566
8.8
2025-09-15
Avtech · Avtech Eagleeyes · CVE-2025-50944
**Name of the Vulnerable Software and Affected Versions** AVTECH EagleEyes version 2.0.0 **Description** The custom `X509TrustManager` used in the `checkServerTrusted` function only checks the certificate's expiration date, bypassing proper TLS chain validation. **Recommendations** At the moment, there is no information about a newer version that contains a fix for this vulnerability.
PT-2025-35802
8.4
2025-09-03
Figma · Figma Desktop · CVE-2025-56803
**Name of the Vulnerable Software and Affected Versions** Figma Desktop versions 125.6.5 **Description** Figma Desktop for Windows version 125.6.5 contains a command injection issue in the local plugin loader. An attacker can execute arbitrary OS commands by setting a crafted `build` field in the plugin's `manifest.json`. This field is passed to `child process.exec` without validation, potentially leading to remote code execution (RCE). **Recommendations** Update to a newer version that contains a fix for this issue. As a temporary workaround, consider restricting the use of local plugins until a patch is available.