Tunahan Tekeoğlu

**Nome do Software Vulnerável e Versões Afetadas** Versões do Pyxis Signage até a 31012025 **Descrição** O Pyxis Signage é afetado por uma Neutralização Imprópria de Entrada Durante a Geração de Página Web, especificamente uma questão de Cross-Site Scripting (XSS) Armazenado. Isso permite a execução persistente de JavaScript nos navegadores dos administradores. Um cenário do mundo real envolve o comprometimento da sinalização para exibir conteúdo de phishing em locais públicos, como saguões corporativos, lojas de varejo e aeroportos. O problema impacta sistemas de sinalização digital implantados em espaços públicos com monitoramento limitado. Existem mais de 3,2 milhões de dispositivos potencialmente afetados em todo o mundo. A vulnerabilidade pode ser explorada através da injeção de código JavaScript malicioso. **Recomendações** Versões anteriores à 31012025 devem ser atualizadas.

**Nome do Software Vulnerável e Versões Afetadas** Versões do Pyxis Signage até 31012025 **Descrição** O Pyxis Signage é afetado por um problema de upload de arquivos sem restrições com tipos de arquivos perigosos. Isso permite o acesso a funcionalidades não devidamente restritas por Listas de Controle de Acesso (ACLs). **Recomendações** Versões anteriores a 31012025 devem ser atualizadas.

**Nome do software vulnerável e versões afetadas** Versões do Veribase Order anteriores à 4.010.3 **Descrição** O problema está relacionado à neutralização inadequada de entradas durante a geração de páginas da Web, também conhecida como Cross-site Scripting (XSS), o que permite XSS armazenado, Cross-site Scripting, exploração de APIs baseadas em scripts e XSS por meio de cabeçalhos HTTP. Isso se deve à codificação ou escape inadequados da saída e à neutralização inadequada de scripts em atributos de uma página da Web. **Recomendações** Para versões anteriores à 4.010.3, atualize para a versão 4.010.3 ou posterior para resolver o problema. Como solução alternativa temporária, considere restringir o acesso a APIs baseadas em scripts e cabeçalhos HTTP para minimizar o risco de exploração. Além disso, garanta a validação adequada das entradas e a codificação das saídas para prevenir ataques de cross-site scripting.

**Nome do software vulnerável e versões afetadas** Versões do Veribase Order Management anteriores à v4.010.2 **Descrição** O problema está relacionado a uma vulnerabilidade de injeção de comando no sistema operacional, que permite acesso não autorizado devido à neutralização inadequada de elementos especiais utilizados em um comando do sistema operacional. Essa vulnerabilidade afeta o software Veribase Order Management, possibilitando explorações por meio de injeção de comando no sistema operacional. **Recomendações** Para versões anteriores à v4.010.2, atualize para a versão v4.010.2 ou posterior para resolver o problema. Como solução alternativa temporária, considere restringir o acesso a áreas confidenciais do software para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Versões do TeoBASE até 20240327 **Descrição** O problema está relacionado a uma vulnerabilidade do tipo “Contorno de autenticação por falha primária” no software TeoBASE da TeoSOFT, que permite o contorno da autenticação. O fornecedor foi contatado sobre esta divulgação, mas não respondeu. **Recomendações** Para as versões até 20240327, como solução temporária, considere restringir o acesso a áreas confidenciais do TeoBASE até que um patch esteja disponível. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Versões do TeoBASE até 27032024 **Descrição** O problema está relacionado a uma vulnerabilidade de injeção de SQL devido à neutralização inadequada de elementos especiais utilizados em um comando SQL. Isso permite ataques de injeção de SQL. O fornecedor foi contatado sobre esta divulgação, mas não respondeu. **Recomendações** Para as versões até 27032024, como solução temporária, considere restringir o acesso a operações sensíveis no banco de dados para minimizar o risco de exploração. Evite usar entradas fornecidas pelo usuário em comandos SQL até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.