Tom Westenberg

**Nome do software vulnerável e versões afetadas** Relógios GNSS GE Reason RT430, RT431 e RT434 com versões anteriores à 08A06 **Descrição** O problema está relacionado a uma vulnerabilidade de injeção de código. Essa vulnerabilidade pode permitir que um invasor remoto execute código arbitrário no sistema. A vulnerabilidade existe em uma das páginas da web dos dispositivos afetados. **Recomendações** Para os relógios GNSS GE Reason RT430, RT431 e RT434 com versões anteriores à 08A06, atualize o firmware para a versão 08A06 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso à página da web vulnerável para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Relógios GNSS GE Reason RT430, RT431 e RT434 com versões anteriores à 08A06 **Descrição** A vulnerabilidade permite que invasores interceptem e descriptografem o tráfego criptografado por meio de uma conexão HTTPS ao terem acesso à chave criptográfica codificada no hardware. Isso pode comprometer a segurança dos dados que estão sendo transmitidos. **Recomendações** Para os relógios GNSS GE Reason RT430, RT431 e RT434 com versões anteriores à 08A06, atualize o firmware para a versão 08A06 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso à conexão HTTPS para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Versões do MU320E anteriores à v04A00.1 **Descrição** O software contém uma senha predefinida que poderia permitir que um invasor assumisse o controle da unidade de junção utilizando essas credenciais predefinidas. **Recomendações** Para versões anteriores à v04A00.1, atualize para a versão v04A00.1 ou posterior para resolver o problema.

**Name of the Vulnerable Software and Affected Versions** Columbia Weather MicroServer version MS 2.6.9900 **Description** A stored Cross-site scripting (XSS) issue allows remote authenticated users to inject arbitrary web script via the "changestationname.php" endpoint. **Recommendations** For version MS 2.6.9900, consider restricting access to the `changestationname.php` endpoint until a fix is available. As a temporary workaround, avoid using the `changestationname.php` endpoint to minimize the risk of exploitation.

**Name of the Vulnerable Software and Affected Versions** Columbia Weather MicroServer version MS 2.6.9900 **Description** The issue allows an authenticated web user to execute commands directly on the underlying operating system due to unsanitized user input in the networkdiags.php file. **Recommendations** For version MS 2.6.9900, consider restricting access to the networkdiags.php file until a patch is available to prevent exploitation.

**Name of the Vulnerable Software and Affected Versions** Columbia Weather MicroServer version MS 2.6.9900 **Description** The issue allows an authenticated web user to access an alternative configuration page, specifically the `config main.php` page, which enables manipulation of the device. **Recommendations** For version MS 2.6.9900, restrict access to the `config main.php` page to prevent unauthorized device manipulation.

**Name of the Vulnerable Software and Affected Versions** Columbia Weather MicroServer version MS 2.6.9900 **Description** The issue arises from the BACnet daemon's failure to properly validate input. This could allow a remote attacker to send specially crafted packets, potentially causing the device to become unavailable. **Recommendations** For version MS 2.6.9900, consider disabling the BACnet daemon until a patch is available to prevent potential exploitation.