Stux

**Name of the Vulnerable Software and Affected Versions** vTiger CRM version 6.4.0 **Description** A problematic issue has been identified, affecting the /modules/Mobile/index.php file. The manipulation of the ` operation` argument leads to cross-site scripting. This issue can be exploited remotely. **Recommendations** For version 6.4.0, as a temporary workaround, consider restricting access to the `/modules/Mobile/index.php` file until a patch is available. Avoid manipulating the ` operation` argument in the affected file to minimize the risk of exploitation.

Nome do Software Vulnerável e Versões Afetadas: SIAM Industria de Automação e Monitoramento SIAM versão 2.0 Descrição: Foi identificado um problema crítico no SIAM Industria de Automação e Monitoramento, afetando algum processamento desconhecido do arquivo /qrcode.jsp. A manipulação do argumento `url` resulta em Cross Site Scripting. O ataque pode ser iniciado remotamente. O exploit foi divulgado publicamente e pode ser utilizado. O fabricante foi contactado previamente sobre esta divulgação, mas não respondeu de forma alguma. Recomendações: Para o SIAM Industria de Automação e Monitoramento SIAM versão 2.0, como solução temporária, considere restringir o acesso ao arquivo /qrcode.jsp até que um patch esteja disponível. Evite utilizar o argumento `url` no arquivo afetado para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para este problema.

Nome do Software Vulnerável e Versões Afetadas: Pix Software Vivaz versão 6.0.10 Descrição: Uma vulnerabilidade problemática foi identificada no Pix Software Vivaz, afetando código desconhecido. A manipulação resulta em falsificação de solicitação entre sites (CSRF). O ataque pode ser iniciado remotamente. O exploit foi divulgado ao público e pode ser utilizado. O fornecedor foi contatado antecipadamente sobre esta divulgação, mas não respondeu de forma alguma. Recomendações: Para o Pix Software Vivaz versão 6.0.10, como uma medida paliativa temporária, considere restringir o acesso a operações sensíveis para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

Nome do Software Vulnerável e Versões Afetadas: Versões do Allims lab.online até 20250201 Descrição: Foi identificado um problema crítico no processamento do arquivo /model/model recuperar senha.php, onde a manipulação do parâmetro `recuperacao` resulta em SQL Injection. Este problema pode ser explorado remotamente. O fornecedor foi contatado sobre a divulgação, mas não respondeu. Recomendações: Para as versões até 20250201, como medida paliativa temporária, considere restringir o acesso ao arquivo `/model/model recuperar senha.php` até que um patch esteja disponível. Evite utilizar o parâmetro `recuperacao` no arquivo afetado para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

Nome do Software Vulnerável e Versões Afetadas: Pix Software Vivaz versão 6.0.10 Descrição: Uma falha crítica foi encontrada no código relacionado ao arquivo `/servlet?act=login`, onde a manipulação do argumento `usuario` pode resultar em injeção de SQL. Esta falha pode ser explorada remotamente. O fornecedor foi contatado sobre a divulgação, mas não respondeu. Recomendações: Para o Pix Software Vivaz versão 6.0.10, considere desativar o endpoint `/servlet?act=login` ou restringir o acesso a ele até que uma correção esteja disponível. Além disso, evite usar o argumento `usuario` no endpoint afetado para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta falha.

**Nome do Software Vulnerável e Versões Afetadas** Mobotix M15 versão 4.3.4.83 **Descrição** Foi identificada uma vulnerabilidade no processamento do arquivo "/control/player?center&eventlist&pda&dummy for reload=1736177631&p evt". A manipulação do argumento `p qual` resulta em cross-site scripting. O ataque pode ser iniciado remotamente. O exploit foi divulgado publicamente e pode ser utilizado. O fabricante foi contatado antecipadamente sobre esta divulgação, mas não respondeu de forma alguma. **Recomendações** Para o Mobotix M15 versão 4.3.4.83, como solução temporária, considere restringir o acesso ao endpoint "/control/player" até que um patch esteja disponível. Evite utilizar o argumento `p qual` no endpoint afetado até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Name of the Vulnerable Software and Affected Versions** Virtual Computer Vysual RH Solution version 2024.12.1 **Description** A problematic issue was found in the Login Panel component, specifically in the /index.php file, affecting an unknown functionality. The manipulation of the `page` argument leads to cross-site scripting. This issue can be exploited remotely. The exploit has been publicly disclosed, and the vendor was contacted but did not respond. **Recommendations** For Virtual Computer Vysual RH Solution version 2024.12.1, as a temporary workaround, consider restricting access to the `/index.php` file of the Login Panel component to minimize the risk of exploitation. Avoid using the `page` argument in the affected API endpoint until the issue is resolved. At the moment, there is no information about a newer version that contains a fix for this issue.

**Nome do software vulnerável e versões afetadas** Versões do Intelbras InControl até 2.21.57 **Descrição** Uma falha crítica afeta uma funcionalidade desconhecida do arquivo /v1/operador/ do componente Página de Relatório de Operadores. A manipulação do argumento `fields` leva à injeção de código. O ataque pode ser lançado remotamente. A exploração já foi divulgada ao público e pode estar em uso. **Recomendações** Para as versões do Intelbras InControl até 2.21.57, atualize para a versão 2.21.58 para resolver este problema. Como solução temporária, considere restringir o acesso ao endpoint /v1/operador/ da página Relatório de Operadores até que o patch seja aplicado.

Nome do software vulnerável e versões afetadas: Versões do Grocy até a 4.2.0 Descrição: Foi encontrada uma vulnerabilidade crítica no componente SVG File Upload Handler do Grocy, afetando o caminho `/api/files/recipepictures/`. A manipulação do argumento `force serve as` com a entrada `picture` leva a um ataque de cross-site scripting. O ataque pode ser iniciado remotamente. A existência real dessa vulnerabilidade ainda é questionada, e o mantenedor do projeto não deseja ser citado a respeito dos fundamentos da controvérsia. A política de segurança do projeto implica que essa descoberta é “praticamente irrelevante” devido aos requisitos de autenticação. Observa-se um aumento nas atividades de agentes maliciosos visando o Grocy. Recomendações: Para proteger seu sistema, certifique-se de atualizar para a versão mais recente e aplicar todos os patches recomendados. Como solução temporária, considere restringir o acesso ao caminho `/api/files/recipepictures/` no componente SVG File Upload Handler até que um patch esteja disponível. Evite usar o argumento `force serve as` com a entrada `picture` no endpoint da API afetado até que o problema seja resolvido.

**Nome do software vulnerável e versões afetadas** Scada-LTS versão 2.7.8 **Descrição** Foi identificada uma vulnerabilidade no componente Message Handler do Scada-LTS, relacionada ao arquivo /Scada-LTS/app.shtm#/alarms/Scada. A manipulação leva a um ataque de cross-site scripting. O ataque pode ser executado remotamente. A exploração foi divulgada ao público e pode estar em uso. Esta falha está associada à falta de medidas de proteção na estrutura da página web, o que pode permitir que um invasor realize ataques de cross-site scripting. **Recomendações** Para a versão 2.7.8 do Scada-LTS, está prevista uma correção para a próxima versão, no final de setembro de 2024. Como solução temporária, considere restringir o acesso ao componente Message Handler vulnerável para minimizar o risco de exploração. Evite usar o arquivo afetado /Scada-LTS/app.shtm#/alarms/Scada até que o problema seja resolvido.

**Nome do software vulnerável e versões afetadas** ZKTeco ZKBio CVSecurity V5000 versão 4.1.0 **Descrição** Foi identificada uma falha no componente da Seção de Configuração Push. A manipulação do argumento `Configuration Name` leva a um ataque de cross-site scripting. É possível iniciar o ataque remotamente. O fornecedor foi contatado sobre esta divulgação, mas não respondeu. **Recomendações** Para o ZKTeco ZKBio CVSecurity V5000 versão 4.1.0, como solução temporária, considere restringir o acesso à seção Push Configuration até que uma correção esteja disponível. Evite manipular o argumento `Configuration Name` nesta seção para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para este problema.

Nome do software vulnerável e versões afetadas: Intelbras InControl versão 2.21.56 Descrição: Foi identificada uma vulnerabilidade crítica no Intelbras InControl, afetando código não identificado do componente incontrolWebcam Service. A exploração leva a um caminho de pesquisa sem aspas, exigindo acesso local para que o ataque seja executado. A exploração já foi divulgada publicamente e pode estar em uso. Recomendações: Para o Intelbras InControl versão 2.21.56, atualize para a versão 2.21.58 para resolver este problema. Recomenda-se atualizar o componente afetado o mais rápido possível.

Nome do software vulnerável e versões afetadas: ZKTeco ZKBio CVSecurity V5000 versão 4.1.0 Descrição: Foi encontrada uma vulnerabilidade no componente “Department Section”, onde a manipulação do argumento `Department Name` leva a um ataque de cross-site scripting. O ataque pode ser lançado remotamente. A exploração foi divulgada ao público e pode estar em uso. O fornecedor foi contatado antecipadamente sobre essa divulgação, mas não respondeu de forma alguma. Recomendações: Para o ZKTeco ZKBio CVSecurity V5000 versão 4.1.0, considere desativar o componente Department Section ou restringir o acesso a ele até que um patch esteja disponível. Evite usar o argumento `Department Name` no componente afetado para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

Nome do software vulnerável e versões afetadas: ZKTeco ZKBio CVSecurity V5000 versão 4.1.0 Descrição: Foi encontrada uma vulnerabilidade no componente Summer Schedule Handler. A manipulação do argumento `Schedule Name` leva a um ataque de script entre sites (XSS). O ataque pode ser lançado remotamente. A exploração já foi divulgada ao público e pode estar em uso. Recomendações: Para a versão 4.1.0, como solução temporária, considere restringir o uso do argumento `Schedule Name` no componente Summer Schedule Handler até que uma correção esteja disponível. Evite usar o argumento `Schedule Name` na funcionalidade afetada para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Name of the Vulnerable Software and Affected Versions** app1pro Shopicial versions up to 20230830 **Description** A problem has been found in the file search code, allowing for cross-site scripting through the manipulation of the `with` argument and input like `comments</script>'"><img src=x onerror=alert(document.cookie)>`. This issue can be exploited remotely. **Recommendations** For app1pro Shopicial versions up to 20230830, consider restricting the use of the file search function until a fix is available. As a temporary workaround, avoid using the `with` argument in the affected file search functionality to minimize the risk of exploitation. At the moment, there is no information about a newer version that contains a fix for this vulnerability.

**Name of the Vulnerable Software and Affected Versions** Gira HomeServer versions up to 4.12.0.220829 beta **Description** A problematic issue was found, affecting unknown code of the file /hslist. The manipulation of the argument `lst` with the input `debug%27"><img%20src=x%20onerror=alert(document.cookie)>` leads to cross-site scripting. The attack can be initiated remotely. **Recommendations** For Gira HomeServer versions up to 4.12.0.220829 beta, at the moment, there is no information about a newer version that contains a fix for this vulnerability. As a temporary workaround, consider restricting access to the `/hslist` file to minimize the risk of exploitation. Avoid using the `lst` argument in the affected file until the issue is resolved.

**Name of the Vulnerable Software and Affected Versions** Control iD RHiD version 23.3.19.0 **Description** A critical vulnerability has been found in Control iD RHiD, affecting an unknown part of the file /v2/#/. The manipulation leads to direct request and can be initiated remotely. The vendor was contacted about this disclosure but did not respond. **Recommendations** For version 23.3.19.0, as a temporary workaround, consider restricting access to the affected file /v2/#/ until a patch is available. At the moment, there is no information about a newer version that contains a fix for this vulnerability.

**Name of the Vulnerable Software and Affected Versions** Control iD RHiD version 23.3.19.0 **Description** A problematic issue has been discovered, affecting an unknown function of the file /v2/#/add/department. The manipulation of the `Name` argument leads to cross-site scripting. This issue can be exploited remotely. The vendor was contacted about this disclosure but did not respond. **Recommendations** For version 23.3.19.0, as a temporary workaround, consider restricting access to the /v2/#/add/department endpoint until a patch is available. Avoid using the `Name` argument in this endpoint to minimize the risk of exploitation. At the moment, there is no information about a newer version that contains a fix for this issue.

**Name of the Vulnerable Software and Affected Versions** Control iD RHiD version 23.3.19.0 **Description** A problematic vulnerability was found in the Edit Handler component, affecting an unknown part of the file /v2/customerdb/operator.svc/a. The manipulation of the `email` argument leads to SQL injection, and it is possible to initiate the attack remotely. The vendor was contacted early about this disclosure but did not respond. **Recommendations** For version 23.3.19.0, as a temporary workaround, consider restricting access to the `/v2/customerdb/operator.svc/a` endpoint until a patch is available. Additionally, avoid using the `email` argument in this endpoint to minimize the risk of exploitation. At the moment, there is no information about a newer version that contains a fix for this vulnerability.

**Name of the Vulnerable Software and Affected Versions** Control iD iDSecure version 4.7.29.1 **Description** A vulnerability has been found in the component Dispositivos Page, where the manipulation of the `IP-DNS` argument leads to cross-site scripting. The attack can be initiated remotely. The vendor was contacted early about this disclosure but did not respond in any way. **Recommendations** For version 4.7.29.1, consider restricting access to the Dispositivos Page component to minimize the risk of exploitation. As a temporary workaround, avoid using the `IP-DNS` argument in the affected component until a patch is available. At the moment, there is no information about a newer version that contains a fix for this vulnerability.