Userstux

Nome do Software Vulnerável e Versões Afetadas: Pix Software Vivaz versão 6.0.10 Descrição: Uma vulnerabilidade problemática foi identificada no Pix Software Vivaz, afetando código desconhecido. A manipulação resulta em falsificação de solicitação entre sites (CSRF). O ataque pode ser iniciado remotamente. O exploit foi divulgado ao público e pode ser utilizado. O fornecedor foi contatado antecipadamente sobre esta divulgação, mas não respondeu de forma alguma. Recomendações: Para o Pix Software Vivaz versão 6.0.10, como uma medida paliativa temporária, considere restringir o acesso a operações sensíveis para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

Nome do Software Vulnerável e Versões Afetadas: Versões do Allims lab.online até 20250201 Descrição: Foi identificado um problema crítico no processamento do arquivo /model/model recuperar senha.php, onde a manipulação do parâmetro `recuperacao` resulta em SQL Injection. Este problema pode ser explorado remotamente. O fornecedor foi contatado sobre a divulgação, mas não respondeu. Recomendações: Para as versões até 20250201, como medida paliativa temporária, considere restringir o acesso ao arquivo `/model/model recuperar senha.php` até que um patch esteja disponível. Evite utilizar o parâmetro `recuperacao` no arquivo afetado para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** Mobotix M15 versão 4.3.4.83 **Descrição** Foi identificada uma vulnerabilidade no processamento do arquivo "/control/player?center&eventlist&pda&dummy for reload=1736177631&p evt". A manipulação do argumento `p qual` resulta em cross-site scripting. O ataque pode ser iniciado remotamente. O exploit foi divulgado publicamente e pode ser utilizado. O fabricante foi contatado antecipadamente sobre esta divulgação, mas não respondeu de forma alguma. **Recomendações** Para o Mobotix M15 versão 4.3.4.83, como solução temporária, considere restringir o acesso ao endpoint "/control/player" até que um patch esteja disponível. Evite utilizar o argumento `p qual` no endpoint afetado até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

Nome do software vulnerável e versões afetadas: ZKTeco ZKBio CVSecurity V5000 versão 4.1.0 Descrição: Foi encontrada uma vulnerabilidade no componente “Department Section”, onde a manipulação do argumento `Department Name` leva a um ataque de cross-site scripting. O ataque pode ser lançado remotamente. A exploração foi divulgada ao público e pode estar em uso. O fornecedor foi contatado antecipadamente sobre essa divulgação, mas não respondeu de forma alguma. Recomendações: Para o ZKTeco ZKBio CVSecurity V5000 versão 4.1.0, considere desativar o componente Department Section ou restringir o acesso a ele até que um patch esteja disponível. Evite usar o argumento `Department Name` no componente afetado para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

Nome do software vulnerável e versões afetadas: ZKTeco ZKBio CVSecurity V5000 versão 4.1.0 Descrição: Foi encontrada uma vulnerabilidade no componente Summer Schedule Handler. A manipulação do argumento `Schedule Name` leva a um ataque de script entre sites (XSS). O ataque pode ser lançado remotamente. A exploração já foi divulgada ao público e pode estar em uso. Recomendações: Para a versão 4.1.0, como solução temporária, considere restringir o uso do argumento `Schedule Name` no componente Summer Schedule Handler até que uma correção esteja disponível. Evite usar o argumento `Schedule Name` na funcionalidade afetada para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.