Sipke Mellema

**Name of the Vulnerable Software and Affected Versions** Smartliving SmartLAN/G/SI versions 6.x and earlier **Description** Smartliving SmartLAN/G/SI software is affected by an unauthenticated server-side request forgery issue. The issue resides in the GetImage functionality and is triggered through the `host` parameter. An attacker can exploit the `/onvif.cgi` API endpoint by providing external domains, potentially bypassing firewalls and performing network enumeration via arbitrary HTTP requests. **Recommendations** Versions prior to 6.x should be updated.

**Nome do software vulnerável e versões afetadas** Versões do NetIQ Access Manager anteriores à 5.0.1 Versões do NetIQ Access Manager anteriores à 4.5.4 **Descrição** O problema é causado por um ataque de injeção, levando a uma negação de serviço. **Recomendações** Para versões anteriores à 5.0.1, atualize para a versão 5.0.1 ou posterior. Para versões anteriores à 4.5.4, atualize para a versão 4.5.4 ou posterior.

**Nome do software vulnerável e versões afetadas** Inim Electronics Smartliving SmartLAN/G/SI versões anteriores à 7.x **Descrição** Existe uma vulnerabilidade de falsificação de solicitação do lado do servidor (SSRF) não autenticada na funcionalidade GetImage. O aplicativo utiliza dados fornecidos pelo usuário no parâmetro `host` para construir uma solicitação de imagem por meio do `onvif.cgi`. Como o parâmetro `host` não é validado, um invasor pode especificar um domínio externo, forçando o aplicativo a fazer uma solicitação HTTP para um host de destino arbitrário. **Recomendações** Para as versões do SmartLiving SmartLAN/G/SI da Inim Electronics anteriores à 7.x, considere validar o parâmetro `host` na funcionalidade GetImage para prevenir ataques SSRF. Como solução temporária, restrinja o acesso ao serviço `onvif.cgi` para minimizar o risco de exploração.