Wojciech Cybowski

**Name of the Vulnerable Software and Affected Versions** Pix-Link LV-WR21Q version V108 108 Pix-Link LV-WR21Q (affected versions not specified) **Description** The Pix-Link LV-WR21Q device does not require authentication for the `/goform/getHomePageInfo` API endpoint. This allows a remote, unauthenticated attacker to access the endpoint and potentially retrieve the cleartext password for the access point. The vendor was notified of this issue but did not provide details regarding vulnerable version ranges. **Recommendations** Apply a patch or update to a newer version that addresses this issue. At the moment, there is no information about a newer version that contains a fix for this vulnerability.

**Name of the Vulnerable Software and Affected Versions** Pix-Link LV-WR21Q router version V108 108 Pix-Link LV-WR21Q router (affected versions not specified) **Description** A flaw exists in the language module of the Pix-Link LV-WR21Q router that allows remote attackers to cause a denial of service (DoS). This is achieved by sending a specially crafted HTTP POST request containing a non-existing language parameter. The server is then unable to serve the correct `lang.js` file, which prevents the administrator panel from functioning, resulting in a DoS. The DoS only impacts the administrator panel and does not affect other router functionalities. **Recommendations** Revert the language settings to a correct value.

**Nome do Software Vulnerável e Versões Afetadas** Roteador WODESYS WD-R608U versões anteriores a WDR28081123OV1.01 WODESYS WDR122B V2.0 (versões afetadas não especificadas) WODESYS WDR28 (versões afetadas não especificadas) **Descrição** A senha de administrador dos roteadores WODESYS é armazenada em um arquivo de configuração como texto simples. Isso permite que um usuário não autorizado obtenha a senha através do acesso direto ao recurso. O fabricante foi notificado sobre este problema, mas não forneceu detalhes sobre versões vulneráveis ou uma resposta. Apenas a versão WDR28081123OV1.01 foi confirmada como vulnerável, e outras versões também podem ser afetadas. **Recomendações** Atualize para a versão WDR28081123OV1.01 ou posterior. Para o WODESYS WDR122B V2.0, no momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade. Para o WODESYS WDR28, no momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** Versões do roteador WODESYS WD-R608U anteriores a WDR28081123OV1.01 WODESYS WDR122B V2.0 (versões afetadas não especificadas) WODESYS WDR28 (versões afetadas não especificadas) **Descrição** A falta de autenticação no módulo de alteração de configuração dentro do endpoint da API `/adm.cgi` permite que um atacante não autenticado execute comandos. Esses comandos incluem criar backups, reiniciar o dispositivo e redefinir o dispositivo para as configurações de fábrica. **Recomendações** Atualize o roteador WODESYS WD-R608U para a versão WDR28081123OV1.01 ou posterior. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** Versões do roteador WODESYS WD-R608U anteriores a WDR28081123OV1.01 WODESYS WDR122B V2.0 (versões afetadas não especificadas) WODESYS WDR28 (versões afetadas não especificadas) **Descrição** Um usuário não autorizado pode visualizar arquivos de configuração referenciando diretamente o recurso. O fornecedor foi notificado sobre este problema, mas não forneceu detalhes sobre as versões vulneráveis. Apenas a versão WDR28081123OV1.01 foi confirmada como vulnerável, e outras versões também podem estar afetadas. **Recomendações** Atualize para a versão WDR28081123OV1.01 ou superior.

**Nome do Software Vulnerável e Versões Afetadas** Roteador WODESYS WD-R608U versões anteriores a WDR28081123OV1.01 WODESYS WDR122B V2.0 (versões afetadas não especificadas) WODESYS WDR28 (versões afetadas não especificadas) **Descrição** O roteador WODESYS WD-R608U, também conhecido como WDR122B V2.0 e WDR28, apresenta uma vulnerabilidade de Controle de Acesso Quebrado no endpoint initial configuration wizard.cgi. Um atacante pode modificar a senha do painel administrativo sem autorização. Este problema persiste mesmo após a conclusão da configuração inicial. O fabricante foi notificado, mas não forneceu detalhes sobre as faixas de versões vulneráveis. **Recomendações** Atualize para a versão WDR28081123OV1.01 ou superior.

**Nome do Software Vulnerável e Versões Afetadas** Roteador WODESYS WD-R608U versões anteriores à WDR28081123OV1.01 WODESYS WDR122B V2.0 (versões afetadas não especificadas) WODESYS WDR28 (versões afetadas não especificadas) **Descrição** A falta de validação de entrada no parâmetro `langGet` do endpoint da API `/adm.cgi` permite a execução de comandos shell do sistema. O fabricante foi notificado, mas não forneceu detalhes sobre as faixas de versões vulneráveis. Os testes confirmaram que a versão WDR28081123OV1.01 é vulnerável, e outras versões também podem estar afetadas. **Recomendações** Atualize para a versão WDR28081123OV1.01 ou posterior. Restrinja o acesso ao endpoint `/adm.cgi`. Sanitize o parâmetro `langGet` para prevenir injeção de comandos.