Tejas Nitin Pingulkar

**Name of the Vulnerable Software and Affected Versions** Maharashtra State Electricity Distribution Company Limited Mahavitran IOS Application version 16.1 **Description** The issue concerns the Maharashtra State Electricity Distribution Company Limited Mahavitran IOS Application, which uses the GET method to process requests containing sensitive information, such as `user account name` and `password`. This can lead to exposure of the sensitive information through the browser's history, referrers, web logs, and other sources. **Recommendations** For version 16.1, consider modifying the application to use a more secure method, such as the POST method, to process requests containing sensitive information, and ensure that sensitive data like `user account name` and `password` are properly encrypted and protected. As a temporary workaround, restrict access to the application's history and referrers to minimize the risk of sensitive information exposure.

**Name of the Vulnerable Software and Affected Versions** Wondershare Filmora version 9.2.11 **Description** The issue is related to Trojan Dll hijacking, which can lead to privilege escalation. **Recommendations** For version 9.2.11, update to a newer version that contains a fix for this issue, if available. If no specific fix is provided for version 9.2.11, consider applying general security best practices to minimize the risk of exploitation.

**Name of the Vulnerable Software and Affected Versions** Smart Office Web versions 20.28 and earlier **Description** An issue in Smart Office Web allows attackers to download sensitive information via the `action name` parameter to "ExportEmployeeDetails.aspx" and "ExportReportingManager.aspx". Additionally, attackers can view sensitive information via "DisplayParallelLogData.aspx". **Recommendations** For versions 20.28 and earlier, consider restricting access to the "ExportEmployeeDetails.aspx" and "ExportReportingManager.aspx" pages, and avoid using the `action name` parameter until a fix is available. As a temporary workaround, consider disabling access to "DisplayParallelLogData.aspx" to minimize the risk of exploitation.

**Name of the Vulnerable Software and Affected Versions** Smart Office Web versions 20.28 and earlier **Description** An issue was discovered that allows attackers to view sensitive information via the "DisplayParallelLogData.aspx" API endpoint. **Recommendations** For versions 20.28 and earlier, consider restricting access to the "DisplayParallelLogData.aspx" endpoint until a patch is available.

**Nome do software vulnerável e versões afetadas: Aplicativo Android do fundo mútuo UTI, versões 5.4.18 e anteriores Descrição: Uma falha no aplicativo Android do fundo mútuo UTI permite que invasores realizem uma enumeração por força bruta de nomes de usuário, a partir da mensagem de erro retornada após a tentativa de uso de credenciais inválidas. Recomendações: Para as versões 5.4.18 e anteriores, considere implementar limitação de taxa ou bloqueio de IP para impedir ataques de força bruta e modifique a mensagem de erro para que ela não revele se o nome de usuário é válido ou não. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Aplicativo Mahavitara para Android da Maharashtra State Electricity Board, versões 8.20 e anteriores **Descrição** A vulnerabilidade permite a apropriação remota de contas devido a uma falha de fixação de OTP na função de redefinição de senha. **Recomendações** Para as versões 8.20 e anteriores, atualize para uma versão que corrija a vulnerabilidade de fixação de OTP na função de redefinição de senha para evitar a apropriação remota da conta.

**Nome do software vulnerável e versões afetadas: Aplicativo Mahavitaran para Android, versões 7.50 e anteriores Descrição: O problema diz respeito à transmissão de informações confidenciais em parâmetros de URL, o que pode levar à divulgação de informações caso terceiros não autorizados acessem as URLs por meio de logs do servidor, cabeçalho de referência, ataques Man-in-the-Middle (MITM) ou histórico do navegador. Recomendações: Para as versões 7.50 e anteriores do aplicativo Mahavitaran para Android, considere restringir o acesso a informações confidenciais e evite usar parâmetros de URL para transmitir tais dados até que uma correção esteja disponível. Como solução temporária, restrinja o acesso aos logs do servidor e aos cabeçalhos de referência para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** NCH Express Accounts versões 8.24 e anteriores **Descrição** A vulnerabilidade permite que usuários locais descubram a senha em texto simples ao ler o arquivo de configuração. **Recomendações** Para as versões 8.24 e anteriores, considere restringir o acesso ao arquivo de configuração para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** NCH Express Accounts versões 8.24 e anteriores **Descrição** A vulnerabilidade permite que um usuário autenticado com privilégios reduzidos acesse funcionalidades que exigem privilégios superiores, como Adicionar/Editar usuários, ao inserir uma URL manipulada. **Recomendações** Para as versões 8.24 e anteriores, atualize para uma versão posterior à 8.24 para resolver o problema. Como solução alternativa temporária, considere restringir o acesso a funcionalidades confidenciais, como Adicionar/Editar usuários, até que um patch esteja disponível.

**Nome do software vulnerável e versões afetadas** Suíte Verint Workforce Optimization versão 15.1 (15.1.0.37634) **Descrição** O problema diz respeito à divulgação de informações não autenticadas por meio de uma API. **Recomendações** Para a versão 15.1 (15.1.0.37634), no momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.