Strik3R

**Nome do software vulnerável e versões afetadas** Versões do Clavister E10 e E80 até a 14.00.10 **Descrição** Foi identificada uma vulnerabilidade no componente Setting Handler, que pode levar à falsificação de solicitações entre sites (CSRF). O ataque pode ser iniciado remotamente. O código de exploração já foi divulgado publicamente e pode estar em uso. **Recomendações** Para as versões Clavister E10 e E80 até 14.00.10, atualize para a versão 14.00.11 para resolver este problema. Como solução temporária, considere desativar o componente Setting Handler até que um patch esteja disponível.

**Nome do software vulnerável e versões afetadas** Zebra ZTC GK420d versão 1.0 **Descrição** Foi identificada uma falha no componente “Página de configuração de alertas”, afetando especificamente o arquivo /settings. A manipulação do argumento `Address` leva a um ataque de script entre sites (XSS). Essa falha pode ser explorada remotamente. A exploração já foi divulgada publicamente. **Recomendações** Para o Zebra ZTC GK420d versão 1.0, como solução temporária, considere restringir o acesso à Página de Configuração de Alertas ou desativar a manipulação do argumento `Address` até que uma correção esteja disponível.

**Nome do software vulnerável e versões afetadas** Clavister E10 e E80, versões até 14.00.10 **Descrição** Foi identificada uma vulnerabilidade no componente “Misc Settings Page”, que afeta o arquivo /?Page=Node&OBJ=/System/AdvancedSettings/DeviceSettings/MiscSettings. A manipulação dos argumentos `WatchdogTimerTime`, `BufFloodRebootTime`, `MaxPipeUsers`, `AVCache Lifetime`, `HTTPipeliningMaxReq`, `Reassembly MaxConnections`, `Reassembly MaxProcessingMem` e `ScrSaveTime` leva a um ataque de cross-site scripting. O ataque pode ser iniciado remotamente. **Recomendações** Para as versões Clavister E10 e E80 até a 14.00.10, atualize para a versão 14.00.11 para resolver este problema. Como solução temporária, considere restringir o acesso ao componente da página Misc Settings até que a atualização seja aplicada. Evite usar os argumentos vulneráveis no arquivo afetado até que o problema seja resolvido.

**Nome do software vulnerável e versões afetadas** GARO WALLBOX GLB+ T2EV7 versão 0.5 **Descrição** Foi encontrada uma falha no componente Software Update Handler, afetando uma parte desconhecida do arquivo /index.jsp#settings. A manipulação do argumento `Reference` leva a um ataque de cross-site scripting. É possível iniciar o ataque remotamente. A exploração foi divulgada ao público e pode estar em uso. O fornecedor foi contatado antecipadamente sobre essa divulgação, mas não respondeu de forma alguma. **Recomendações** Para o GARO WALLBOX GLB+ T2EV7 versão 0.5, como solução temporária, considere restringir o acesso ao endpoint `/index.jsp#settings` até que um patch esteja disponível. Evite usar o argumento `Reference` no endpoint afetado até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para este problema.

**Nome do software vulnerável e versões afetadas** Sistema de Gestão de Aluguéis SourceCodester, versão 1.0 **Descrição** Foi identificada uma vulnerabilidade no componente “Gerenciar Detalhes da Fatura”, na qual a manipulação do argumento `Invoice` leva a um ataque de cross-site scripting. O ataque pode ser executado remotamente. A exploração já foi divulgada ao público e pode estar em uso. **Recomendações** Para o SourceCodester House Rental Management System versão 1.0, considere desativar o componente Manage Invoice Details até que uma correção esteja disponível. Restrinja o acesso a este componente para minimizar o risco de exploração. Evite usar o argumento `Invoice` nos endpoints da API afetados até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Sistema de Gestão de Aluguel de Imóveis SourceCodester, versão 1.0 **Descrição** Foi identificada uma falha no processamento do arquivo index.php, em que a manipulação do argumento `page` leva a um ataque de cross-site scripting. O ataque pode ser iniciado remotamente. **Recomendações** Para o SourceCodester House Rental Management System versão 1.0, considere restringir o acesso ao arquivo index.php até que uma correção esteja disponível. Como solução temporária, evite usar o argumento `page` no arquivo afetado para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para este problema.

**Nome do software vulnerável e versões afetadas** Sistema de Gestão de Aluguéis SourceCodester, versão 1.0 **Descrição** Foi identificada uma falha no componente “Gerenciar Detalhes do Locatário”. A manipulação do argumento `Name` leva a um ataque de script entre sites (XSS). É possível executar o ataque remotamente. **Recomendações** Para o SourceCodester House Rental Management System versão 1.0, considere restringir o acesso ao componente “Gerenciar Detalhes do Locatário” até que uma correção esteja disponível. Como solução temporária, evite usar o argumento `Name` no componente afetado para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para este problema.

**Nome do software vulnerável e versões afetadas** Sistema de Gestão de Aluguel de Imóveis SourceCodester, versão 1.0 **Descrição** Foi identificada uma falha crítica no Sistema de Gestão de Aluguel de Imóveis SourceCodester, afetando uma funcionalidade não especificada do arquivo `manage user.php` do componente “Editar Usuário”. A manipulação dos argumentos `id`, `name` ou `username` leva a uma injeção de SQL. O ataque pode ser executado remotamente. **Recomendações** Para a versão 1.0, considere desativar o arquivo `manage user.php` ou restringir o acesso ao componente Editar Usuário até que uma correção esteja disponível. Como solução temporária, evite usar os argumentos `id`, `name` ou `username` na funcionalidade afetada para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Sistema de Presença de Alunos SourceCodester, versão 1.0 **Descrição** Foi identificada uma vulnerabilidade crítica no Sistema de Presença de Alunos SourceCodester. O problema afeta uma função desconhecida do arquivo attendance report.php. A manipulação do argumento `class id` leva a uma injeção de SQL. A exploração já foi divulgada ao público e pode estar sendo utilizada. **Recomendações** Para o Sistema de Presença de Alunos SourceCodester versão 1.0, considere desativar a função afetada no arquivo attendance report.php até que um patch esteja disponível. Restrinja o acesso ao arquivo attendance report.php para minimizar o risco de exploração. Evite usar o argumento `class id` na função afetada até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Name of the Vulnerable Software and Affected Versions** Elenos ETG150 FM transmitter version 3.12 **Description** The issue is related to improper access control, allowing attackers to make arbitrary configuration edits that are normally only accessible by privileged users. **Recommendations** For Elenos ETG150 FM transmitter version 3.12, consider restricting access to configuration edit features until a patch is available. As a temporary workaround, limit the privileges of non-administrative users to minimize the risk of exploitation. At the moment, there is no information about a newer version that contains a fix for this issue.

**Name of the Vulnerable Software and Affected Versions** Elenos ETG150 FM Transmitter version 3.12 **Description** The issue is related to insufficient session expiration, allowing attackers to change transmitter configuration and data after a user has logged out. **Recommendations** For Elenos ETG150 FM Transmitter version 3.12, consider implementing proper session expiration mechanisms to prevent unauthorized access after logout. As a temporary workaround, restrict access to the transmitter configuration and data to minimize the risk of exploitation.

**Name of the Vulnerable Software and Affected Versions** Elenos ETG150 FM transmitter version 3.12 **Description** A lack of rate limiting in the Elenos ETG150 FM transmitter allows attackers to obtain user credentials via brute force and cause other unspecified impacts. **Recommendations** For Elenos ETG150 FM transmitter version 3.12, consider implementing rate limiting on login attempts to prevent brute force attacks until a patch is available. As a temporary workaround, restrict access to the login functionality to minimize the risk of exploitation. At the moment, there is no information about a newer version that contains a fix for this vulnerability.

**Name of the Vulnerable Software and Affected Versions** Elenos ETG150 FM transmitter version 3.12 **Description** An issue in the Elenos ETG150 FM transmitter allows attackers to enumerate user accounts based on server responses when credentials are submitted. **Recommendations** For Elenos ETG150 FM transmitter version 3.12, consider restricting access to the server until a patch is available to prevent user account enumeration. As a temporary workaround, avoid submitting credentials to the server to minimize the risk of exploitation. At the moment, there is no information about a newer version that contains a fix for this issue.

**Name of the Vulnerable Software and Affected Versions** Elenos ETG150 FM transmitter version 3.12 **Description** An Insecure Direct Object Reference (IDOR) issue allows access to events profiles. **Recommendations** For Elenos ETG150 FM transmitter version 3.12, consider restricting access to sensitive events profiles until a patch is available. At the moment, there is no information about a newer version that contains a fix for this issue.

**Name of the Vulnerable Software and Affected Versions** GatesAIr Flexiva FM Transmitter/Exiter Fax 150W (affected versions not specified) **Description** The issue allows a remote attacker to gain privileges via the LDAP and SMTP credentials. **Recommendations** At the moment, there is no information about a newer version that contains a fix for this vulnerability.

**Name of the Vulnerable Software and Affected Versions** GatesAIr Flexiva FM Transmitter/Exciter version FAX 150W **Description** The issue allows a remote attacker to execute arbitrary code via a crafted script to the web application dashboard. This is a Cross Site Scripting vulnerability. **Recommendations** For GatesAIr Flexiva FM Transmitter/Exciter version FAX 150W, consider disabling access to the web application dashboard until a fix is available. Restrict the use of the dashboard to minimize the risk of exploitation. Avoid using the dashboard with untrusted input until the issue is resolved. At the moment, there is no information about a newer version that contains a fix for this vulnerability.

**Name of the Vulnerable Software and Affected Versions** Elenos ETG150 FM transmitter version 3.12 **Description** The issue is related to improper access control, which can lead to privilege escalation. This can be exploited by utilizing a user's role in their profile. In some cases, an attack could be conducted over the public Internet. The vulnerability is also associated with deficiencies in access control in the Memcached service of the Elenos ETG150 FM transmitter's firmware, allowing a remote attacker to potentially elevate their privileges. **Recommendations** For Elenos ETG150 FM transmitter version 3.12, consider restricting access to the user profile and `user role` to minimize the risk of exploitation until a patch is available. As a temporary workaround, limit the use of the Memcached service to reduce the attack surface. At the moment, there is no information about a newer version that contains a fix for this vulnerability.

**Name of the Vulnerable Software and Affected Versions** Elenos ETG150 FM transmitter version 3.12 **Description** The issue is related to insufficient protection of service data, allowing an attacker to gain unauthorized access to sensitive information. This can be exploited by accessing the publicly accessible Memcached service, potentially over the public Internet. The leak includes SMTP credentials and other sensitive information. **Recommendations** For Elenos ETG150 FM transmitter version 3.12, consider restricting access to the Memcached service to minimize the risk of exploitation. As a temporary workaround, limit public Internet access to the transmitter until a patch is available. At the moment, there is no information about a newer version that contains a fix for this vulnerability.

**Name of the Vulnerable Software and Affected Versions** Elenos ETG150 FM transmitter version 3.12 **Description** The issue is related to improper access control, which can be exploited to add a high-privilege user by leveraging the user's role within the admin profile. This can potentially be done over the public Internet. The vulnerability is associated with software deficiencies in access control. **Recommendations** For version 3.12, consider restricting access to the admin profile to minimize the risk of exploitation until a patch is available. As a temporary workaround, review and limit user roles within the admin profile to prevent unauthorized privilege escalation.