Simon Robin

**Nome do software vulnerável e versões afetadas** Versões EXVF5C-2 e EXVP7C2-3 da série Moog EXO **Descrição** Foi detectada uma falha de segurança nas unidades da série Moog EXO que suportam o protocolo de interoperabilidade ONVIF. A verificação de autenticação para determinadas operações ONVIF pode ser contornada, permitindo que um invasor execute operações com privilégios sem autenticação. Isso poderia permitir a criação de um novo usuário administrador. **Recomendações** Para as versões EXVF5C-2 e EXVP7C2-3 da série Moog EXO, como solução temporária, considere desativar o protocolo ONVIF até que uma correção esteja disponível. Restrinja o acesso a operações privilegiadas para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para este problema.

**Nome do software vulnerável e versões afetadas** Versões EXVF5C-2 e EXVP7C2-3 da série Moog EXO **Descrição** O problema diz respeito a várias vulnerabilidades de Entidade Externa XML (XXE). Essas vulnerabilidades permitem que usuários remotos não autenticados leiam arquivos arbitrários utilizando uma Definição de Tipo de Documento (DTD) manipulada em uma solicitação XML. **Recomendações** Para as versões EXVF5C-2 e EXVP7C2-3 da série Moog EXO, considere desativar a funcionalidade de análise de XML até que um patch esteja disponível. Restrinja o acesso ao módulo de tratamento de solicitações XML para minimizar o risco de exploração. Evite usar DTDs criadas especificamente para esse fim em solicitações XML até que o problema seja resolvido.

**Nome do software vulnerável e versões afetadas** Unidades Moog da série EXO EXVF5C-2 e EXVP7C2-3 (versões afetadas não especificadas) **Descrição** O problema diz respeito a uma vulnerabilidade relacionada a credenciais codificadas, que pode levar a problemas de confidencialidade ao usar os protocolos FTP, Telnet ou SSH. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Versões da série Moog EXO (versões afetadas não especificadas) **Descrição** O console de administração das unidades da série Moog EXO possui um recurso que permite iniciar um processo repetidamente em um determinado intervalo de tempo como ‘root’. Esse recurso pode ser explorado usando variáveis especiais do shell, como `${IFS}`, para executar comandos arbitrários como ‘root’ nas unidades. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.