Yassine Damiri

**Nome do Software Vulnerável e Versões Afetadas** Nginx Proxy Manager versões 2.9.14 a 2.15.1 **Descrição** Um problema de execução remota de código autenticada existe via injeção de comando de SO na função `setupCertbotPlugins()` localizada em backend/setup.js. Atacantes com a permissão `certificates:manage` podem executar comandos arbitrários ao armazenar um payload malicioso no campo `dns provider credentials`. Isso ocorre porque o valor de `dns provider credentials` é interpolado diretamente em um comando de shell executado via `child process.exec()` sem a devida sanitização ou escape, resultando na execução do comando após a reinicialização do backend. **Recomendações** Atualize para a versão que contém o commit a5db5ed. Como mitigação temporária, restrinja a permissão `certificates:manage` apenas a administradores confiáveis.

**Nome do Software Vulnerável e Versões Afetadas** ProjeQtor versões 7.0 a 12.4.3 **Descrição** Existe uma injeção de SQL não autenticada na funcionalidade de login. A variável `login` é concatenada diretamente em uma consulta SQL sem parametrização ou sanitização. Atacantes podem injetar expressões SQL arbitrárias através do campo de nome de usuário no endpoint de autenticação para criar contas privilegiadas, ler dados sensíveis e executar comandos do sistema operacional se o usuário do banco de dados tiver permissões elevadas. A injeção de SQL é uma técnica onde instruções SQL maliciosas são inseridas em campos de entrada para execução, permitindo potencialmente o acesso não autorizado ao banco de dados. **Recomendações** Atualize para a versão 12.4.4 ou posterior. Como medida paliativa temporária, restrinja o acesso ao endpoint de autenticação para minimizar o risco de exploração.

**Nome do Software Vulnerável e Versões Afetadas** ProjeQtor versões 7.0 a 12.4.3 **Descrição** Um problema de path traversal do tipo ZipSlip existe na funcionalidade de upload de plugins. Atacantes autenticados com permissões de upload podem gravar arquivos fora do diretório de extração pretendido utilizando arquivos ZIP que contenham sequências de travessia de diretório. Essa extração de arquivo não validada permite a inserção de um webshell PHP em um diretório acessível via web, levando à execução remota de código com os privilégios do processo do servidor web. O problema está localizado no endpoint 'uploadPlugin.php'. **Recomendações** Atualize para a versão 12.4.4 ou posterior.

**Nome do Software Vulnerável e Versões Afetadas** ProjeQtor versões 7.0 a 12.4.3 **Descrição** Usuários autenticados com privilégios de nível de convidado podem recuperar dados sensíveis de outros usuários, como hashes de senha e chaves de API. Isso ocorre devido à falta de autorização no endpoint 'objectDetail.php', permitindo que invasores ignorem os controles de acesso sem validação de propriedade ou baseada em função para extrair credenciais de administrador e realizar a escalada de privilégios. **Recomendações** Atualize para a versão 12.4.4. Como medida paliativa temporária, restrinja o acesso ao endpoint 'objectDetail.php' para minimizar o risco de exploração.

**Nome do Software Vulnerável e Versões Afetadas** ProjeQtor versões 7.0 a 12.4.3 **Descrição** Um problema de cross-site scripting armazenado existe na função `checkValidHtmlText()` dentro do arquivo Security.php. A função não sanitiza adequadamente a entrada do usuário porque detecta apenas padrões específicos e retorna strings não sanitizadas sem codificação de saída. Isso permite que atacantes injetem cargas maliciosas usando sintaxes alternativas, como tags img com manipuladores de eventos, que são então armazenadas e executadas nos navegadores dos usuários que visualizam o conteúdo afetado. **Recomendações** Atualize para a versão 12.4.4. Como medida paliativa temporária, restrinja o acesso à função `checkValidHtmlText()` no Security.php para minimizar o risco de exploração.

**Nome do Software Vulnerável e Versões Afetadas** ProjeQtor versões 7.0 a 12.4.3 **Descrição** Um problema de cross-site scripting armazenado existe na funcionalidade de upload de arquivos. A função `checkValidFileName()` falha ao restringir o upload de arquivos HTML e HTM. Atacantes autenticados podem fazer o upload de arquivos contendo JavaScript arbitrário através dos endpoints de upload de imagem ou anexos. Quando um usuário acessa a URL do arquivo enviado, o JavaScript incorporado é executado em seu navegador. **Recomendações** Atualize para a versão 12.4.4 ou posterior. Como medida paliativa temporária, restrinja o uso da função `checkValidFileName()` ou dos endpoints de upload de imagem e anexos para minimizar o risco de exploração.

**Nome do Software Vulnerável e Versões Afetadas** ProjeQtor versões 7.0 a 12.4.3 **Descrição** Um problema de path traversal existe no visualizador de arquivos de log. Atacantes autenticados podem injetar sequências de travessia de diretório no parâmetro `logname` no endpoint 'dynamicDialog.php' para ler arquivos .log arbitrários acessíveis ao processo do servidor web no sistema de arquivos. Path traversal é uma técnica que permite a um atacante acessar arquivos e diretórios que estão armazenados fora da pasta raiz da web. **Recomendações** Atualize para a versão 12.4.4 ou posterior. Como medida paliativa temporária, restrinja o acesso ao endpoint 'dynamicDialog.php' ou evite usar o parâmetro `logname` até que a atualização seja aplicada.

**Nome do Software Vulnerável e Versões Afetadas** Yi IOT XY-3820 versão 6.0.24.10 **Descrição** O problema refere-se à Execução Remota de Comandos por meio da função `cmd listen` localizada no binário `cmd`. **Recomendações** Para o Yi IOT XY-3820 versão 6.0.24.10, como solução temporária, considere desativar a função `cmd listen` até que uma correção esteja disponível. Restrinja o acesso ao binário `cmd` para minimizar o risco de exploração.

Name of the Vulnerable Software and Affected Versions: LSC Smart Connect LSC Indoor PTZ Camera version 7.6.32 Description: The issue concerns a remote code execution (RCE) vulnerability in the `tuya ipc direct connect` function of the `anyka ipc` process. This vulnerability allows for arbitrary code execution through the Wi-Fi configuration process when a specially crafted QR code is presented to the camera. Recommendations: For LSC Smart Connect LSC Indoor PTZ Camera version 7.6.32, as a temporary workaround, consider disabling the `tuya ipc direct connect` function until a patch is available. Restrict access to the Wi-Fi configuration process to minimize the risk of exploitation. At the moment, there is no information about a newer version that contains a fix for this vulnerability.