Z3

**Nome do software vulnerável e versões afetadas** baijiacmsV4 versão 4.1.4 **Descrição** Existe uma vulnerabilidade do tipo Server-Side Request Forgery (SSRF) na função `fetch net file upload`, permitindo que invasores remotos forcem a aplicação a realizar solicitações arbitrárias através da injeção de URLs arbitrárias no parâmetro `url`. **Recomendações** Para o baijiacmsV4 versão 4.1.4, como solução temporária, considere restringir o acesso à função fetch net file upload até que um patch esteja disponível. Evite usar o parâmetro `url` na função afetada para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para este problema.

**Nome do software vulnerável e versões afetadas** WAVLINK AC1200 versão WAVLINK-A42W-1.27.6-20180418 **Descrição** Existe uma vulnerabilidade na página ‘wx.html’, permitindo que um invasor remoto acesse essa página sem autenticação. Quando um usuário não autorizado acessa essa página diretamente, ele se conecta ao dispositivo como um amigo do proprietário do dispositivo. **Recomendações** Para a versão WAVLINK-A42W-1.27.6-20180418, como solução temporária, considere restringir o acesso à página ‘wx.html’ até que uma correção esteja disponível.

**Nome do software vulnerável e versões afetadas** Netgear W104 versão WAC104-V1.0.4.13 **Descrição** Uma vulnerabilidade na página ‘MNU top.htm’ permite que um invasor remoto acesse essa página sem autenticação, expondo informações essenciais do dispositivo. **Recomendações** Para o Netgear W104 versão WAC104-V1.0.4.13, considere restringir o acesso à página ‘MNU top.htm’ até que uma correção esteja disponível.

**Nome do software vulnerável e versões afetadas** Netgear W104 versão WAC104-V1.0.4.13 Netgear WAC104 (versões afetadas não especificadas) Netgear R7450 (versões afetadas não especificadas) Netgear R6900v2 (versões afetadas não especificadas) Netgear R7800 (versões afetadas não especificadas) Netgear R6220 (versões afetadas não especificadas) **Descrição** Uma vulnerabilidade na página ‘BRS top.html’ pode permitir que um invasor remoto acesse essa página sem qualquer autenticação, expondo informações sobre a versão do firmware do dispositivo. O problema está relacionado a falhas no procedimento de autenticação durante o processamento da página da web BRS top.html. **Recomendações** Para o Netgear W104 versão WAC104-V1.0.4.13, considere restringir o acesso à página BRS top.html até que um patch esteja disponível. Para os modelos Netgear WAC104, R7450, R6900v2, R7800 e R6220, restrinja o acesso à página BRS top.html para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Name of the Vulnerable Software and Affected Versions** NETGEAR devices versions AC1450, D8500, DC112A, JNDR3000, LG2200D, R4500, R6200, R6200V2, R6250, R6300, R6300v2, R6400, R6700, R6900P, R6900, R7000P, R7000, R7100LG, R7300, R7900, R8000, R8300, R8500, WGR614v10, WN2500RPv2, WNDR3400v2, WNDR3700v3, WNDR4000, WNDR4500, WNDR4500v2, WNR1000, WNR1000v3, WNR3500L, WNR3500L. **Description** The issue allows remote attackers to disable all authentication requirements by visiting "genieDisableLanChanged.cgi". After that, an attacker can visit "MNU accessPassword recovered.html" to obtain a valid new admin password. **Recommendations** For all affected NETGEAR devices, consider restricting access to the "genieDisableLanChanged.cgi" endpoint until a patch is available. As a temporary workaround, avoid using the affected devices for sensitive operations until the issue is resolved. At the moment, there is no information about a newer version that contains a fix for this vulnerability.

**Name of the Vulnerable Software and Affected Versions** NETGEAR devices versions MBR1515, MBR1516, DGN2200, DGN2200M, DGND3700, WNR2000v2, WNDR3300, WNDR3400, WNR3500, WNR834Bv2 **Description** The issue allows unauthenticated access to critical .cgi and .htm pages via a substring ending with .jpg. This can be achieved by appending a specific string, such as ?x=1.jpg, to a URL. **Recommendations** For NETGEAR devices versions MBR1515, MBR1516, DGN2200, DGN2200M, DGND3700, WNR2000v2, WNDR3300, WNDR3400, WNR3500, WNR834Bv2, consider restricting access to critical .cgi and .htm pages to prevent unauthenticated access. As a temporary workaround, avoid using URLs that can be manipulated by appending substrings ending with .jpg, such as ?x=1.jpg, until a patch is available. At the moment, there is no information about a newer version that contains a fix for this vulnerability.