Tomy

**Nome do software vulnerável e versões afetadas** eolinker apinto-dashboard (versões afetadas não especificadas) **Descrição** Um problema afeta o processamento do arquivo /login, onde a manipulação do argumento `callback` leva a um redirecionamento aberto. Esse problema pode ser iniciado remotamente. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** IBAX go-ibax (versões afetadas não especificadas) **Descrição** Foi encontrada uma vulnerabilidade crítica no IBAX go-ibax, afetando uma função desconhecida do arquivo “/api/v2/open/tablesInfo”. A manipulação leva à injeção de SQL, e é possível lançar o ataque remotamente. A exploração foi divulgada ao público. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** IBAX go-ibax (versões afetadas não especificadas) **Descrição** Foi encontrada uma falha crítica no IBAX go-ibax, afetando alguma funcionalidade desconhecida do arquivo “/api/v2/open/rowsInfo”. A manipulação do argumento `table name` leva à injeção de SQL. O ataque pode ser lançado remotamente. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** IBAX go-ibax (versões afetadas não especificadas) **Descrição** Foi encontrada uma falha crítica no IBAX go-ibax, afetando o endpoint `/api/v2/open/rowsInfo`. A manipulação do argumento `order` leva à injeção de SQL. Esta falha pode ser explorada remotamente. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Versões do go-ibax a partir dos commits de 18 de julho de 2020 **Descrição** Foi identificada uma falha crítica no go-ibax, que permite a injeção de SQL. Isso se deve à manipulação do argumento `where` no endpoint `/api/v2/open/rowsInfo`, que pode ser iniciada remotamente. A vulnerabilidade afeta o arquivo `/packages/api/database.go` e pode levar à falsificação de identidade, adulteração de dados, divulgação de todos os dados no sistema, destruição de dados ou indisponibilização de dados, além de permitir que invasores se tornem administradores do servidor de banco de dados. **Recomendações** Para versões a partir dos commits de 18 de julho de 2020, considere desativar o parâmetro `where` no endpoint `/api/v2/open/rowsInfo` como uma solução temporária até que um patch esteja disponível. Restrinja o acesso ao arquivo `/packages/api/database.go` para minimizar o risco de exploração. Evite usar o parâmetro `where` no endpoint da API afetado até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** eolinker apinto-dashboard (versões afetadas não especificadas) **Descrição** Foi identificada uma vulnerabilidade no eolinker apinto-dashboard, classificada como problemática, que afeta um processamento não identificado do arquivo “/api/discoveries/”. A manipulação leva a um ataque de cross-site scripting. O ataque pode ser iniciado remotamente. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** eolinker apinto-dashboard (versões afetadas não especificadas) **Descrição** Foi identificada uma falha que afeta uma função desconhecida do arquivo /login. A manipulação do argumento `callback` leva a um ataque de cross-site scripting. É possível executar o ataque remotamente. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.