Shoji Baba

Nome do Software Vulnerável e Versões Afetadas: Active! mail 6 versões 6.30.01004145 até 6.60.06008562 Descrição: Existe uma vulnerabilidade de cross-site scripting, permitindo que um script arbitrário seja executado no navegador web do usuário logado ao acessar uma URL especialmente criada. Recomendações: Para o Active! mail 6 versões 6.30.01004145 até 6.60.06008562, atualize para uma versão que inclua uma correção para este problema para prevenir sua exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

Nome do Software Vulnerável e Versões Afetadas: Active! mail 6 versões 6.60.06008562 e anteriores Descrição: Existe uma vulnerabilidade de Falsificação de Solicitação Entre Sites (CSRF), potencialmente permitindo o envio de e-mails não intencionais quando um usuário logado acessa uma URL especialmente criada. Recomendações: Para o Active! mail 6 versões 6.60.06008562 e anteriores, considere implementar medidas para verificar a autenticidade das solicitações, como validar a origem das solicitações ou usar tokens anti-CSRF, até que um patch esteja disponível. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Controlador de gerenciamento de energia com serviços em nuvem JH-RVB1 / JH-RV11, versões B0.1.9.1 e anteriores **Descrição** A vulnerabilidade permite que um invasor não autenticado, conectado à mesma rede, execute um comando arbitrário do sistema operacional no produto afetado. **Recomendações** Para as versões B0.1.9.1 e anteriores, no momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Controlador de gerenciamento de energia SHARP com serviços em nuvem, versões B0.1.9.1 e anteriores **Descrição** Uma vulnerabilidade de cross-site scripting permite que um invasor não autenticado, conectado à mesma rede, execute um script arbitrário no navegador do usuário que acessa a página de gerenciamento do produto afetado. **Recomendações** Para as versões B0.1.9.1 e anteriores, atualize para uma versão posterior à B0.1.9.1 para resolver o problema. Como solução temporária, considere restringir o acesso à página de gerenciamento do produto afetado até que um patch esteja disponível.

**Nome do software vulnerável e versões afetadas** Controlador de gerenciamento de energia com serviços em nuvem JH-RVB1 / JH-RV11, versões B0.1.9.1 e anteriores **Descrição** A falha permite que um invasor não autenticado, conectado à mesma rede, acesse o produto afetado sem autenticação. Isso se deve a uma vulnerabilidade relacionada a autenticação inadequada. **Recomendações** Para as versões B0.1.9.1 e anteriores, atualize para uma versão posterior à B0.1.9.1 para resolver o problema. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Controlador de gerenciamento de energia com serviços em nuvem JH-RVB1 / JH-RV11, versões B0.1.9.1 e anteriores **Descrição** A vulnerabilidade permite que um invasor não autenticado, conectado à mesma rede, obtenha um arquivo arbitrário no produto afetado devido a uma vulnerabilidade de traversal de caminho. **Recomendações** Para as versões B0.1.9.1 e anteriores, no momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Controlador de gerenciamento de energia com serviços em nuvem JH-RVB1 / JH-RV11, versões B0.1.9.1 e anteriores **Descrição** Uma vulnerabilidade de falsificação de solicitação entre sites (CSRF) permite que um invasor remoto não autenticado altere as configurações do produto. **Recomendações** Para as versões B0.1.9.1 e anteriores, atualize para uma versão posterior à B0.1.9.1 para resolver o problema. Como solução alternativa temporária, considere restringir o acesso ao Controlador de Gerenciamento de Energia com Serviços em Nuvem para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Controlador de gerenciamento de energia com serviços em nuvem JH-RVB1 / JH-RV11, versões B0.1.9.1 e anteriores **Descrição** Uma vulnerabilidade do tipo “forja de solicitação do lado do servidor” permite que um invasor não autenticado, conectado à mesma rede, envie uma solicitação HTTP (GET) arbitrária a partir do produto afetado. **Recomendações** Para as versões B0.1.9.1 e anteriores, no momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Controlador de gerenciamento de energia com serviços em nuvem JH-RVB1 / JH-RV11, versões B0.1.9.1 e anteriores **Descrição** Existe uma falha no controle de acesso, que pode permitir que um invasor não autenticado na rede obtenha um `nome de usuário` e sua `senha` com hash exibidos na página de gerenciamento do produto afetado. **Recomendações** Para as versões B0.1.9.1 e anteriores, considere restringir o acesso à página de gerenciamento como uma solução temporária até que um patch esteja disponível. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas: RTX830 versões 15.02.17 e anteriores NVR510 versões 15.01.18 e anteriores NVR700W versões 15.00.19 e anteriores RTX1210 versões 14.01.38 e anteriores Descrição: O problema está relacionado à neutralização inadequada de cabeçalhos de solicitação HTTP para sintaxe de script, permitindo que um invasor remoto autenticado obtenha informações confidenciais por meio de uma página da Web especialmente criada. Isso afeta a interface gráfica da Web (Web GUI) dos dispositivos mencionados. Recomendações: Para as versões 15.02.17 e anteriores do RTX830, atualize para uma versão posterior à 15.02.17 para resolver o problema. Para as versões 15.01.18 e anteriores do NVR510, atualize para uma versão posterior à 15.01.18 para resolver o problema. Para as versões 15.00.19 e anteriores do NVR700W, atualize para uma versão posterior à 15.00.19 para resolver o problema. Para as versões 14.01.38 e anteriores do RTX1210, atualize para uma versão posterior à 14.01.38 para resolver o problema. Como solução alternativa temporária, considere restringir o acesso à GUI da Web para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas: RTX830 versões 15.02.17 e anteriores NVR510 versões 15.01.18 e anteriores NVR700W versões 15.00.19 e anteriores RTX1210 versões 14.01.38 e anteriores Descrição: O problema é uma vulnerabilidade de inclusão de script entre sites na interface gráfica da Web (Web GUI) dos produtos afetados. Isso permite que um invasor remoto autenticado altere as configurações do produto por meio de uma página da Web especialmente criada. Recomendações: Para as versões 15.02.17 e anteriores do RTX830, atualize para uma versão posterior à 15.02.17 para resolver o problema. Para as versões 15.01.18 e anteriores do NVR510, atualize para uma versão posterior à 15.01.18 para resolver o problema. Para as versões 15.00.19 e anteriores do NVR700W, atualize para uma versão posterior à 15.00.19 para resolver o problema. Para as versões 14.01.38 e anteriores do RTX1210, atualize para uma versão posterior à 14.01.38 para resolver o problema. Como solução alternativa temporária, considere restringir o acesso à GUI da Web para minimizar o risco de exploração.

**Name of the Vulnerable Software and Affected Versions** Cybozu Office versions 10.0.0 through 10.8.3 **Description** A directory traversal issue allows remote authenticated attackers to modify arbitrary files using the `Customapp` function. **Recommendations** For Cybozu Office versions 10.0.0 through 10.8.3, consider restricting access to the `Customapp` function until a patch is available.

**Name of the Vulnerable Software and Affected Versions** Cybozu Garoon versions 4.0.0 through 4.10.3 **Description** The issue allows remote authenticated attackers to execute arbitrary SQL commands. **Recommendations** For versions 4.0.0 through 4.10.3, update to a version that contains a fix for this issue.

**Name of the Vulnerable Software and Affected Versions** LogonTracer versions 1.2.0 and earlier **Description** The issue allows remote attackers to conduct Python code injection attacks. **Recommendations** For LogonTracer versions 1.2.0 and earlier, at the moment, there is no information about a newer version that contains a fix for this issue.

**Name of the Vulnerable Software and Affected Versions** LogonTracer versions 1.2.0 and earlier **Description** A cross-site scripting issue allows remote attackers to inject arbitrary web script or HTML. **Recommendations** For LogonTracer versions 1.2.0 and earlier, at the moment, there is no information about a newer version that contains a fix for this issue.

**Name of the Vulnerable Software and Affected Versions** LogonTracer versions 1.2.0 and earlier **Description** The issue allows remote attackers to execute arbitrary OS commands. **Recommendations** For LogonTracer versions 1.2.0 and earlier, at the moment, there is no information about a newer version that contains a fix for this issue.

**Name of the Vulnerable Software and Affected Versions** LogonTracer versions 1.2.0 and earlier **Description** The issue allows remote attackers to conduct XML External Entity (XXE) attacks. This is achieved via unspecified vectors, which could potentially lead to unauthorized access to sensitive data. **Recommendations** For LogonTracer versions 1.2.0 and earlier, at the moment, there is no information about a newer version that contains a fix for this issue.

**Name of the Vulnerable Software and Affected Versions** SiteBridge Inc. Joruri Gw versions 3.2.0 and earlier **Description** The issue allows remote authenticated users to execute arbitrary PHP code. **Recommendations** For versions 3.2.0 and earlier, update to a version later than 3.2.0 to resolve the issue.

**Name of the Vulnerable Software and Affected Versions** baserCMS versions 3.0.14 and earlier, 4.0.5 and earlier **Description** The issue allows remote attackers to execute arbitrary SQL commands. **Recommendations** For versions 3.0.14 and earlier, update to a version later than 3.0.14. For versions 4.0.5 and earlier, update to a version later than 4.0.5.

**Name of the Vulnerable Software and Affected Versions** baserCMS versions 3.0.14 and earlier baserCMS versions 4.0.5 and earlier **Description** The issue allows remote attackers to delete arbitrary files via unspecified vectors when the `File` field is being used in the mail form. **Recommendations** For baserCMS versions 3.0.14 and earlier, update to a version later than 3.0.14. For baserCMS versions 4.0.5 and earlier, update to a version later than 4.0.5.