Sina Kheirkhah

An Exposed Dangerous Method or Function vulnerability in Synology C2 Identity Edge Server package in DSM before 1.76.0-0307 allows remote attackers to obtain user credentials from the edge server.

Name of the Vulnerable Software and Affected Versions M-Files Server versões anteriores a 26.3 Description Uma vulnerabilidade de falsificação de solicitação do lado do servidor (SSRF) cega existe em métodos de conexão legados de recursos de coautoria de documentos. Um invasor não autenticado pode fazer com que o servidor envie solicitações HTTP GET para URLs arbitrárias. Recommendations Atualize o M-Files Server para a versão 26.3 ou posterior.

**Nome do Software Vulnerável e Versões Afetadas** SmarterTools SmarterMail versões anteriores à build 9511 **Descrição** O SmarterTools SmarterMail contém uma vulnerabilidade de bypass de autenticação na API de redefinição de senha. O endpoint `force-reset-password` permite solicitações anônimas e não verifica a senha existente nem um token de redefinição ao redefinir contas de administrador do sistema. Um atacante não autenticado pode fornecer um nome de usuário administrador alvo e uma nova senha para redefinir a conta, resultando em um comprometimento administrativo completo da instância do SmarterMail. Os privilégios de administrador do sistema do SmarterMail permitem executar comandos do sistema operacional, possivelmente concedendo acesso administrativo ao host subjacente. Cerca de 6.000 instâncias expostas à internet foram identificadas como potencialmente vulneráveis, e exploração ativa foi observada no ambiente real, inclusive pelo grupo de ransomware Warlock. Atacantes foram observados explorando essa vulnerabilidade para obter acesso inicial, mover-se lateralmente por redes e implantar ransomware. A vulnerabilidade está presente no endpoint de API `/api/v1/auth/force-reset-password`. O parâmetro vulnerável é `IsSysAdmin`, que, quando definido como 'true', permite redefinir senhas de administradores sem autenticação. **Recomendações** Atualize para a build 9511 ou posterior imediatamente. Restrinja o acesso à API do endpoint `/api/v1/auth/force-reset-password` por meio de lista de permissões de IP. Implante um Web Application Firewall (WAF) para filtrar solicitações ao endpoint `/force-reset-password`. Implemente bloqueio geográfico para interfaces administrativas. Revise os logs de acesso em busca de solicitações POST externas ao endpoint `/api/v1/auth/force-reset-password`, alterações administrativas não autorizadas e criações de novas contas. Rotacione as credenciais expostas.

**Nome do Software Vulnerável e Versões Afetadas** Oracle E-Business Suite versões 12.2.3 a 12.2.14 **Descrição** O Oracle E-Business Suite é afetado por uma vulnerabilidade crítica de execução remota de código (RCE) (CVE-2025-61882). Esta falha permite que atacantes não autenticados executem código arbitrário, potencialmente levando ao comprometimento total do sistema e roubo de dados. A vulnerabilidade está sendo ativamente explorada pelo grupo de ransomware Cl0p. A exploração envolve o contorno de autenticação através do componente BI Publisher Integration, utilizando SSRF, injeção de CRLF e manipulação de modelos XSLT. Um exploit de prova de conceito público está disponível. Múltiplas organizações foram impactadas, com relatos de exfiltração de dados e tentativas de extorsão. Indicadores de comprometimento (IOCs) foram compartilhados por pesquisadores de segurança. **Recomendações** Oracle E-Business Suite versões 12.2.3 a 12.2.14: Aplique o patch de segurança lançado pela Oracle imediatamente.

**Nome do Software Vulnerável e Versões Afetadas** Versões do Fortinet FortiSIEM 5.4.0 a 7.3.1 Versões do Fortinet FortiSIEM 6.1 a 7.3.1 Versões do Fortinet FortiSIEM 6.7 a 7.5 Versões do Fortinet FortiSIEM 7.0.0 a 7.0.3 Versões do Fortinet FortiSIEM 7.1.0 a 7.1.7 Versões do Fortinet FortiSIEM 7.2.0 a 7.2.5 **Descrição** O Fortinet FortiSIEM é afetado por uma neutralização inadequada de elementos especiais usados em um comando do SO, também conhecida como Injeção de Comando do SO (CWE-78). Isso permite que um atacante não autenticado execute código ou comandos arbitrários por meio de solicitações CLI elaboradas. A exploração ativa desta questão foi confirmada e o código de exploit está disponível publicamente. A vulnerabilidade impacta a porta phMonitor (TCP/7900). Houve relatos de ataques de força bruta direcionados a produtos Fortinet anteriores à exploração desta falha. **Recomendações** Versões do Fortinet FortiSIEM 5.4.0 a 7.3.1: Atualize para a versão 7.3.2 ou superior. Versões do Fortinet FortiSIEM 6.1 a 6.7.9: Atualize para a versão 6.7.10 ou superior. Versões do Fortinet FortiSIEM 7.0.0 a 7.0.3: Atualize para a versão 7.0.4 ou superior. Versões do Fortinet FortiSIEM 7.1.0 a 7.1.7: Atualize para a versão 7.1.8 ou superior. Versões do Fortinet FortiSIEM 7.2.0 a 7.2.5: Atualize para a versão 7.2.6 ou superior. Como solução alternativa temporária, restrinja o acesso à porta phMonitor (TCP/7900).

**Nome do Software Vulnerável e Versões Afetadas** Kenwood DMX958XR (versões afetadas não especificadas) **Descrição** Esta vulnerabilidade permite que atacantes fisicamente presentes executem código arbitrário em instalações afetadas de dispositivos Kenwood DMX958XR sem autenticação. A falha reside no processo de atualização de firmware devido à validação insuficiente de strings fornecidas pelo usuário antes de serem usadas em chamadas de sistema, permitindo que um atacante execute código com privilégios de root. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** Versões do Dell Unity anteriores à 5.5.1 Versões do Dell UnityVSA anteriores à 5.5.1 **Descrição** O Dell Unity e o UnityVSA contêm uma vulnerabilidade de Neutralização Imprópria de Elementos Especiais usados em um Comando do SO, também conhecida como Injeção de Comando do SO. Um atacante remoto não autenticado poderia potencialmente explorar essa falha para executar comandos arbitrários no sistema. A vulnerabilidade origina-se do tratamento inadequado de URIs de redirecionamento de login, permitindo que um atacante insira metacaracteres de shell em uma string de execução de comando durante o processo de redirecionamento. Isso pode resultar em alterações de configuração não autorizadas, acesso a dados ou controle total sobre o appliance. **Recomendações** Atualize para a versão 5.5.1 ou posterior para corrigir esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** Série SMA100 (versões afetadas não especificadas) **Descrição** Existe um estouro de buffer no heap na interface web. Isso permite que um atacante remoto e não autenticado cause uma Negação de Serviço (DoS) ou potencialmente obtenha execução de código. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** Série SonicWall SMA100 **Descrição** Uma vulnerabilidade de estouro de buffer baseada em pilha na interface web permite que um atacante remoto e não autenticado cause uma Negação de Serviço (DoS) ou potencialmente realize execução de código. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** Versões da série SMA100 (versões afetadas não especificadas) **Descrição** Existe uma vulnerabilidade de cross-site scripting (XSS) refletido na interface web, permitindo que um atacante remoto não autenticado potencialmente execute código JavaScript arbitrário. Cross-site scripting (XSS) é um tipo de falha de segurança que permite aos atacantes injetar scripts maliciosos em páginas web visualizadas por outros usuários. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** Sophos Intercept X for Windows with Central Device Encryption versões 2025.1 e anteriores **Descrição** Uma vulnerabilidade de escalonamento de privilégio local permite a execução arbitrária de código. **Recomendações** Atualize o Sophos Intercept X for Windows with Central Device Encryption para uma versão posterior à 2025.1.

Nome do Software Vulnerável e Versões Afetadas: O nome do produto não pode ser determinado. Descrição: Um atacante adjacente não autenticado pode configurar um novo backend OCPP devido a configurações padrão inseguras para a interface de configuração. Recomendações: No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** Carregador de Veículos Elétricos Nível 2 WOLFBOX (versões afetadas não especificadas) **Descrição** Esta vulnerabilidade permite que atacantes adjacentes à rede executem código arbitrário nas instalações afetadas. Embora a autenticação seja necessária para explorar esta vulnerabilidade, o mecanismo de autenticação existente pode ser contornado. A falha existe no software do módulo de comunicação Tuya, decorrente da exposição de um método que permite o upload de imagens de software manipuladas para o módulo. Um atacante pode aproveitar-se desta vulnerabilidade para executar código no contexto do dispositivo. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para este problema.

**Nome do Software Vulnerável e Versões Afetadas** Alpine iLX-507 (versões afetadas não especificadas) **Descrição** Este problema permite que atacantes com presença física executem código arbitrário em instalações afetadas. Não é necessária autenticação para sua exploração. A falha reside na função `UPDM wstpCBCUpdStart` devido à validação insuficiente de dados fornecidos pelo usuário antes da execução de uma chamada de sistema, permitindo que um atacante execute código com privilégios de root. **Recomendações** Até o momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** SysAid On-Prem versões 23.3.40 e anteriores **Descrição** O SysAid On-Prem é afetado por uma vulnerabilidade de Entidade Externa XML (XXE) não autenticada na funcionalidade de processamento de URL do servidor. Isso permite a tomada de controle de conta de administrador e operações de leitura de arquivos. O problema decorre da restrição inadequada de referências de entidades externas XML. Relatos indicam exploração ativa desta vulnerabilidade. **Recomendações** Versões anteriores à 23.3.40 devem ser atualizadas.

**Nome do Software Vulnerável e Versões Afetadas** SysAid On-Prem versões 23.3.40 e anteriores **Descrição** O software SysAid On-Prem é afetado por uma vulnerabilidade de Entidade Externa XML (XXE) não autenticada na funcionalidade de processamento `lshw`. A exploração dessa vulnerabilidade pode permitir que um atacante remoto assuma o controle de contas de administrador e leia arquivos. A vulnerabilidade reside no método `doPost` do componente `com.ilient.agentApi.LshwAgent` ao processar solicitações para o endpoint da API `/lshw`. O problema envolve restrição inadequada de referências XML a entidades externas. O parâmetro vulnerável não é especificado explicitamente. **Recomendações** As versões do SysAid On-Prem 23.3.40 e anteriores devem ser atualizadas para uma versão mais recente e corrigida.

**Nome do Software Vulnerável e Versões Afetadas** SysAid On-Prem versões 23.3.40 e anteriores **Descrição** O SysAid On-Prem é afetado por uma vulnerabilidade de Entidade Externa XML (XXE) não autenticada na funcionalidade de processamento de check-in. Isso permite a tomada de controle de conta de administrador e capacidades de leitura de arquivos. Múltiplos relatórios indicam que este problema, identificado como CVE-2025-2775, pode ser encadeado com outras falhas para alcançar Execução Remota de Código (RCE). A vulnerabilidade reside na restrição inadequada de referências de entidades externas XML, especificamente ao processar solicitações de check-in. A exploração envolve o envio de payloads XML maliciosos, potencialmente através do endpoint `/api/v1/servicenow`. A entrada `XML` é vulnerável. Isso permite que atacantes potencialmente exfiltrem dados sensíveis. Várias fontes indicam que a vulnerabilidade está sendo ativamente explorada. **Recomendações** Atualize o SysAid On-Prem para a versão 24.4.60 b16 ou posterior. Como medida de contorno temporária, desative o processamento XXE. Monitore os logs da API em busca de atividade suspeita. Restrinja o acesso à funcionalidade de processamento de check-in.

**Nome do software vulnerável e versões afetadas** Sophos Intercept X para Windows com Central Device Encryption, versões 2024.2.0 e anteriores **Descrição** Uma vulnerabilidade de escalonamento de privilégios locais no Sophos Intercept X para Windows com Central Device Encryption permite a gravação de arquivos arbitrários. Esse problema está relacionado ao uso de componentes de terceiros não suportados no componente Device Encryption. A exploração dessa vulnerabilidade pode permitir que um invasor grave arquivos arbitrários. **Recomendações** Para o Sophos Intercept X para Windows com Central Device Encryption versão 2024.2.0 e anteriores, atualize para a versão 2024.3 ou posterior para resolver o problema. Como solução alternativa temporária, considere restringir o acesso ao componente Device Encryption para minimizar o risco de exploração. Evite usar o componente vulnerável até que o problema seja resolvido.

Nome do software vulnerável e versões afetadas: Veeam Backup & Replication (versões afetadas não especificadas) Descrição: O problema está relacionado a uma deserialização insegura no Veeam Backup & Replication, permitindo que um usuário com privilégios limitados se conecte a serviços remotos e explore essa vulnerabilidade enviando uma coleção de arquivos temporários serializados. Isso pode permitir que um invasor exclua qualquer arquivo no sistema com privilégios de conta de serviço. A vulnerabilidade é causada por uma lista negra insuficiente durante o processo de desserialização. Recomendações: No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** ChargePoint Home Flex (versões afetadas não especificadas) **Descrição** Esta vulnerabilidade permite que invasores na mesma rede executem código arbitrário em instalações afetadas das estações de recarga ChargePoint Home Flex. Não é necessária autenticação para explorar esta vulnerabilidade. A falha específica existe no módulo `wlanapp`, resultante da falta de validação adequada de uma string fornecida pelo usuário antes de usá-la para executar uma chamada de sistema. Um invasor pode aproveitar esta vulnerabilidade para executar código no contexto do root. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.