Zadewg

**Nome do software vulnerável e versões afetadas** Versões do Signal anteriores à 5.34 para iOS **Descrição** A vulnerabilidade permite que um invasor remoto não autenticado envie links com aparência legítima, que parecem ser URLs de qualquer site, ao explorar a renderização automática de URLs que não sejam http ou https. Isso é feito por meio da injeção RTLO, na qual um invasor pode falsificar, por exemplo, example.com, e mascarar qualquer URL com um destino malicioso. O invasor precisa de um subdomínio como gepj, txt, fdp ou xcod, que apareceriam invertidos como jpeg, txt, pdf e docx, respectivamente. A técnica envolve a renderização incorreta de URLs codificados em RTLO que começam com um espaço não separador, quando há um caractere de hash na URL. **Recomendações** Para versões do Signal anteriores à 5.34 para iOS, atualize para a versão 5.34 ou posterior para resolver o problema. Como solução temporária, considere evitar o uso de URLs com renderização automática não-http/não-https até que um patch seja aplicado. Restrinja o acesso a links potencialmente maliciosos para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** iMessage (aplicativo Mensagens) versões anteriores à 12.4 **Descrição** A interface do usuário do aplicativo iMessage não exibe corretamente as mensagens URI para o usuário. Isso resulta em falsificação de URI por meio de mensagens especialmente criadas. **Recomendações** Para versões anteriores à 12.4, atualize para uma versão posterior à 12.4 para resolver o problema. Como solução temporária, considere evitar o uso de mensagens URI no aplicativo iMessage até que uma correção esteja disponível.

**Name of the Vulnerable Software and Affected Versions** Orange Livebox versions 00.96.320S **Description** The issue is related to an undocumented API endpoint "/system firmwarel.stm" for manual firmware updates. This affects devices with specific firmware, boot, modem, and hardware versions, including Firmware 01.11.2017-11:43:44, Boot v0.70.03, Modem 5.4.1.10.1.1A, Hardware 02, and Arcadyan ARV7519RW22-A-L T VR9 1.2. **Recommendations** For Orange Livebox version 00.96.320S, consider restricting access to the undocumented "/system firmwarel.stm" URI to prevent potential exploitation.

**Name of the Vulnerable Software and Affected Versions** Orange Livebox 00.96.320S devices (affected versions not specified) **Description** The issue allows for CSRF attacks through `cgi-bin/autodialing.exe` and `cgi-bin/phone test.exe`, leading to arbitrary outbound telephone calls to an attacker-specified telephone number. **Recommendations** At the moment, there is no information about a newer version that contains a fix for this vulnerability.

**Name of the Vulnerable Software and Affected Versions** Orange Livebox 00.96.320S devices **Description** The issue is related to several CGI binaries, including `cgi-bin/restore.exe`, `cgi-bin/firewall SPI.exe`, `cgi-bin/setup remote mgmt.exe`, `cgi-bin/setup pass.exe`, and `cgi-bin/upgradep.exe`, which are vulnerable to CSRF attacks. This issue is associated with specific firmware, boot, modem, and hardware versions. **Recommendations** For Orange Livebox 00.96.320S devices, as a temporary workaround, consider restricting access to the vulnerable CGI binaries until a patch is available. Avoid using these binaries in the affected API endpoints until the issue is resolved. At the moment, there is no information about a newer version that contains a fix for this vulnerability.