Sinsinology

**Nome do Software Vulnerável e Versões Afetadas** Oracle E-Business Suite versões 12.2.3 a 12.2.14 **Descrição** O Oracle E-Business Suite é afetado por uma vulnerabilidade crítica de execução remota de código (RCE) (CVE-2025-61882). Esta falha permite que atacantes não autenticados executem código arbitrário, potencialmente levando ao comprometimento total do sistema e roubo de dados. A vulnerabilidade está sendo ativamente explorada pelo grupo de ransomware Cl0p. A exploração envolve o contorno de autenticação através do componente BI Publisher Integration, utilizando SSRF, injeção de CRLF e manipulação de modelos XSLT. Um exploit de prova de conceito público está disponível. Múltiplas organizações foram impactadas, com relatos de exfiltração de dados e tentativas de extorsão. Indicadores de comprometimento (IOCs) foram compartilhados por pesquisadores de segurança. **Recomendações** Oracle E-Business Suite versões 12.2.3 a 12.2.14: Aplique o patch de segurança lançado pela Oracle imediatamente.

**Nome do Software Vulnerável e Versões Afetadas** Versões do Fortinet FortiSIEM 5.4.0 a 7.3.1 Versões do Fortinet FortiSIEM 6.1 a 7.3.1 Versões do Fortinet FortiSIEM 6.7 a 7.5 Versões do Fortinet FortiSIEM 7.0.0 a 7.0.3 Versões do Fortinet FortiSIEM 7.1.0 a 7.1.7 Versões do Fortinet FortiSIEM 7.2.0 a 7.2.5 **Descrição** O Fortinet FortiSIEM é afetado por uma neutralização inadequada de elementos especiais usados em um comando do SO, também conhecida como Injeção de Comando do SO (CWE-78). Isso permite que um atacante não autenticado execute código ou comandos arbitrários por meio de solicitações CLI elaboradas. A exploração ativa desta questão foi confirmada e o código de exploit está disponível publicamente. A vulnerabilidade impacta a porta phMonitor (TCP/7900). Houve relatos de ataques de força bruta direcionados a produtos Fortinet anteriores à exploração desta falha. **Recomendações** Versões do Fortinet FortiSIEM 5.4.0 a 7.3.1: Atualize para a versão 7.3.2 ou superior. Versões do Fortinet FortiSIEM 6.1 a 6.7.9: Atualize para a versão 6.7.10 ou superior. Versões do Fortinet FortiSIEM 7.0.0 a 7.0.3: Atualize para a versão 7.0.4 ou superior. Versões do Fortinet FortiSIEM 7.1.0 a 7.1.7: Atualize para a versão 7.1.8 ou superior. Versões do Fortinet FortiSIEM 7.2.0 a 7.2.5: Atualize para a versão 7.2.6 ou superior. Como solução alternativa temporária, restrinja o acesso à porta phMonitor (TCP/7900).

**Nome do Software Vulnerável e Versões Afetadas** Kenwood DMX958XR (versões afetadas não especificadas) **Descrição** Esta vulnerabilidade permite que atacantes fisicamente presentes executem código arbitrário em instalações afetadas de dispositivos Kenwood DMX958XR sem autenticação. A falha reside no processo de atualização de firmware devido à validação insuficiente de strings fornecidas pelo usuário antes de serem usadas em chamadas de sistema, permitindo que um atacante execute código com privilégios de root. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** Versões do Dell Unity anteriores à 5.5.1 Versões do Dell UnityVSA anteriores à 5.5.1 **Descrição** O Dell Unity e o UnityVSA contêm uma vulnerabilidade de Neutralização Imprópria de Elementos Especiais usados em um Comando do SO, também conhecida como Injeção de Comando do SO. Um atacante remoto não autenticado poderia potencialmente explorar essa falha para executar comandos arbitrários no sistema. A vulnerabilidade origina-se do tratamento inadequado de URIs de redirecionamento de login, permitindo que um atacante insira metacaracteres de shell em uma string de execução de comando durante o processo de redirecionamento. Isso pode resultar em alterações de configuração não autorizadas, acesso a dados ou controle total sobre o appliance. **Recomendações** Atualize para a versão 5.5.1 ou posterior para corrigir esta vulnerabilidade.

Name of the Vulnerable Software and Affected Versions: Autel MaxiCharger AC Wallbox Commercial (affected versions not specified) Description: This issue allows remote attackers to disclose sensitive information on affected installations of Autel MaxiCharger AC Wallbox Commercial charging stations. The specific flaw exists within the Pile API, resulting from the lack of authentication prior to allowing access to functionality. An attacker can leverage this issue to disclose credentials, leading to further compromise. Recommendations: At the moment, there is no information about a newer version that contains a fix for this vulnerability.

**Nome do Software Vulnerável e Versões Afetadas** Autel MaxiCharger AC Wallbox (versões afetadas não especificadas) **Descrição** O problema refere-se a uma vulnerabilidade de divulgação de informações por método perigoso, na qual o número de série comercial é exposto. Esta vulnerabilidade foi descoberta por Sina Kheirkhah, da Summoning Team. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Name of the Vulnerable Software and Affected Versions** Autel MaxiCharger AC Wallbox Commercial Firmware (affected versions not specified) **Description** The issue concerns a remote code execution vulnerability due to a firmware downgrade in the Autel MaxiCharger AC Wallbox Commercial. No information is provided about the estimated number of potentially affected devices or real-world incidents where this issue was exploited. Technical details about exploitation are not specified. **Recommendations** At the moment, there is no information about a newer version that contains a fix for this vulnerability.

**Name of the Vulnerable Software and Affected Versions** Autel MaxiCharger AC Wallbox (affected versions not specified) **Description** The issue concerns an Incorrect Authorization Privilege Escalation Vulnerability in the Commercial Technician API of the Autel MaxiCharger AC Wallbox. This was discovered by Sina Kheirkhah of Summoning Team during Pwn2Own. **Recommendations** At the moment, there is no information about a newer version that contains a fix for this vulnerability.

**Nome do Software Vulnerável e Versões Afetadas** Autel MaxiCharger AC Wallbox Commercial (versões afetadas não especificadas) **Descrição** O problema refere-se a uma Vulnerabilidade de Bypass de Autenticação por Erro de Validação de Origem. Isso permite o bypass de autenticação devido a um erro de validação de origem. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** Carregador de Veículos Elétricos WOLFBOX Nível 2 (versões afetadas não especificadas) **Descrição** Este problema permite que atacantes presentes fisicamente contornem a autenticação em instalações afetadas do Carregador de Veículos Elétricos WOLFBOX Nível 2. A falha específica reside no tratamento dos cartões de gerenciamento, decorrente da falta de personalização desses cartões. Um atacante pode explorar esta vulnerabilidade para contornar a autenticação no sistema. **Recomendações** Atualmente, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** Carregador de Veículos Elétricos Nível 2 WOLFBOX (versões afetadas não especificadas) **Descrição** Esta vulnerabilidade permite que atacantes adjacentes à rede executem código arbitrário nas instalações afetadas. Embora a autenticação seja necessária para explorar esta vulnerabilidade, o mecanismo de autenticação existente pode ser contornado. A falha existe no software do módulo de comunicação Tuya, decorrente da exposição de um método que permite o upload de imagens de software manipuladas para o módulo. Um atacante pode aproveitar-se desta vulnerabilidade para executar código no contexto do dispositivo. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para este problema.

**Nome do Software Vulnerável e Versões Afetadas** Alpine iLX-507 (versões afetadas não especificadas) **Descrição** Este problema permite que atacantes com presença física executem código arbitrário em instalações afetadas. Não é necessária autenticação para sua exploração. A falha reside na função `UPDM wstpCBCUpdStart` devido à validação insuficiente de dados fornecidos pelo usuário antes da execução de uma chamada de sistema, permitindo que um atacante execute código com privilégios de root. **Recomendações** Até o momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** Ivanti Connect Secure versões anteriores a 22.7R2.5 Ivanti Policy Secure versões anteriores a 22.7R1.2 Ivanti Neurons for ZTA gateways versões anteriores a 22.7R2.3 **Description** Um estouro de buffer baseado em pilha e um problema de leitura de memória fora dos limites permitem que um invasor remoto não autenticado consiga a execução remota de código e eleve privilégios. O problema foi explorado ativamente desde meados de dezembro de 2024, visando instituições financeiras e agências governamentais. A exploração envolve a desativação do SELinux, a prevenção do encaminhamento de syslog, a remontagem da unidade como leitura e gravação e a implantação de web shells. Invasores utilizaram o Trojan de acesso remoto baseado em ELF DslogdRAT, que utiliza funções como `init config()` para descriptografar buffers de configuração via XOR, `child()` para persistência através de forking contínuo e `test()` para gerenciar a conectividade de saída `connectx()` e de entrada `listenx()`. Além disso, o implante Linux LSO RESURGE foi usado como um C2 passivo que intercepta a função `accept()` para ser ativado mediante impressões digitais TLS específicas. Para manter a persistência e enganar administradores, o malware PHASEJAM é usado para bloquear atualizações legítimas do sistema enquanto exibe uma barra de progresso falsa, e o manifesto da ferramenta Ivanti Integrity Checker Tool (ICT) é manipulado para burlar as verificações de integridade. **Recommendations** Atualize o Ivanti Connect Secure para a versão 22.7R2.5 ou posterior. Atualize o Ivanti Policy Secure para a versão 22.7R1.2 ou posterior. Atualize o Ivanti Neurons for ZTA gateways para a versão 22.7R2.3 ou posterior. Execute a ferramenta externa Ivanti Integrity Checker Tool (ICT) para verificar a integridade do sistema.

**Nome do software vulnerável e versões afetadas** ChargePoint Home Flex (versões afetadas não especificadas) **Descrição** Esta vulnerabilidade permite que invasores na mesma rede executem código arbitrário em instalações afetadas das estações de recarga ChargePoint Home Flex. Não é necessária autenticação para explorar esta vulnerabilidade. A falha específica existe no módulo `wlanapp`, resultante da falta de validação adequada de uma string fornecida pelo usuário antes de usá-la para executar uma chamada de sistema. Um invasor pode aproveitar esta vulnerabilidade para executar código no contexto do root. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** ChargePoint Home Flex (versões afetadas não especificadas) **Descrição** Esta vulnerabilidade permite que invasores na rede adjacente executem código arbitrário em instalações afetadas das estações de recarga ChargePoint Home Flex. Não é necessária autenticação para explorar esta vulnerabilidade. A falha específica existe no módulo `onboardee` e resulta de um controle de acesso inadequado, permitindo que um invasor execute código no contexto do usuário `root`. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Versões do VMware HCX anteriores à 4.8.3 Versões do VMware HCX anteriores à 4.9.2 Versões do VMware HCX anteriores à 4.10.1 **Descrição** Existe uma falha de injeção de SQL autenticada no método `listExtensions` do VMware Hybrid Cloud Extension (HCX). A exploração bem-sucedida permite que um usuário mal-intencionado e autenticado, sem privilégios de administrador, execute código arbitrário no gerenciador do HCX enviando consultas SQL especialmente criadas. A vulnerabilidade é identificada como CVE-2024-38814 e possui uma pontuação CVSS de 8,8 (Alta). A vulnerabilidade reside na forma como o software lida com a estrutura das solicitações SQL, falhando na implementação de medidas de proteção adequadas. **Recomendações** Atualize para a versão 4.8.3 ou posterior do VMware HCX. Atualize para a versão 4.9.2 ou posterior do VMware HCX. Atualize para a versão 4.10.1 ou posterior do VMware HCX.

**Nome do software vulnerável e versões afetadas** GFI Archiver (versões afetadas não especificadas) **Descrição** Esta vulnerabilidade permite que invasores remotos executem código arbitrário em instalações afetadas do GFI Archiver. É necessária autenticação para explorar esta vulnerabilidade. A falha específica existe no Core Service, que escuta na porta TCP 8017 por padrão. A vulnerabilidade resulta da falta de validação adequada dos dados fornecidos pelo usuário, o que pode resultar na desserialização de dados não confiáveis. Um invasor pode aproveitar essa vulnerabilidade para executar código no contexto do SYSTEM. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

Nome do software vulnerável e versões afetadas: GFI Archiver (versões afetadas não especificadas) Descrição: Esta vulnerabilidade permite que invasores remotos executem código arbitrário em instalações afetadas do GFI Archiver. Não é necessária autenticação para explorar esta vulnerabilidade. A falha específica existe no instalador do produto, resultante do uso de uma versão vulnerável do Telerik Web UI. Um invasor pode aproveitar esta vulnerabilidade para executar código no contexto do NETWORK SERVICE. Recomendações: No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** GFI Archiver (versões afetadas não especificadas) **Descrição** O problema é uma vulnerabilidade de execução remota de código causada pela deserialização de dados não confiáveis no serviço GFI Archiver Store. Isso permite que invasores remotos executem código arbitrário em instalações afetadas do GFI Archiver, mas é necessária autenticação para explorar essa vulnerabilidade. A falha específica existe no Store Service, que escuta na porta TCP 8018 por padrão, e é resultado da falta de validação adequada dos dados fornecidos pelo usuário. Um invasor pode aproveitar essa vulnerabilidade para executar código no contexto do SYSTEM. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Utilitário de sistema CHARX (versões afetadas não especificadas) **Descrição** Um invasor local com privilégios limitados pode explorar um caminho de pesquisa não confiável no utilitário de sistema CHARX para obter privilégios de root. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.