Shubhangborkar

Nome do Software Vulnerável e Versões Afetadas: Plataforma de gerenciamento IoT Aikaan versão 3.25.0325-5-g2e9c59796 Descrição: A plataforma de gerenciamento IoT Aikaan envia senhas recém-geradas aos usuários em texto claro via e-mail. A mesma senha também é incluída como um parâmetro de consulta na URL de ativação da conta, como `/activate=xyz`. Isso pode levar à exposição da senha através do histórico do navegador, logs de proxy, cabeçalhos referer e cache de e-mail, impactando a confidencialidade das credenciais do usuário durante o cadastramento inicial. Recomendações: No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

Nome do Software Vulnerável e Versões Afetadas: Plataforma de gerenciamento IoT Aikaan versão 3.25.0325-5-g2e9c59796 Descrição: A plataforma de gerenciamento IoT Aikaan permite que usuários não autenticados registrem contas via APIs, mesmo quando o registro de usuários está desativado na interface do usuário. Isso contorna os controles de acesso previstos e permite acesso não autorizado a portais de administração. O `endpoint` de API de registro permanece publicamente acessível e funcional, apesar da configuração para desativar o registro de usuários na interface da página de login. Recomendações: Desative o `endpoint` de API de registro para prevenir a criação não autorizada de contas.