Сканер-ВСкаталог уязвимостей · v4.2

Главная Каталог Источники CWE CAPEC ATT&CK Меры защиты Продукты Вендоры Документация

← Вернуться к списку

Eclipse›Приложениеnvd

Kura

Уязвимости

5

Эксплуатируемые

0

Макс. CVSS

9.8

Макс. EPSS

0.01963

Распределение по критичности

Критический

1

Высокий

2

Средний

2

Низкий

0

Затронутые диапазоны версий

5.0.0–5.4.1≤ 2.0.2≤ 4.0.0

Также сопоставлено как (исходные строки): kura

Топ уязвимостей

CVE-2017-7649Сетевое распространение Kura до версии 2.1.0 берет на себя управление настройками брандмауэра устройства, но не позволяет настраивать правила брандмауэра IPv6. Тем не менее, консольный порт Equinox 5002 остается открытым, что позволяет войти в Kura без каких-либо учетных данных пользователя через незашифрованный telnet и выполнять команды с помощью команды Equinox "exec". Поскольку процесс выполняется как "root", можно получить полный контроль над устройством. IPv6 также остается в режиме автоматической настройки, автоматически принимая рекламные сообщения маршрутизатора и назначает IPv6-адрес на основе MAC-адреса.

CVE-2024-3046В компоненте Eclipse Kura LogServlet, включенном в версии с 5.0.0 по 5.4.1, специально созданный запрос к сервлету может позволить не прошедшему проверку подлинности пользователю получить журналы устройства. Кроме того, загруженные журналы могут быть использованы злоумышленником для повышения привилегий, используя идентификатор сеанса прошедшего проверку подлинности пользователя, указанный в журналах. Эта проблема затрагивает org.eclipse.kura:org.eclipse.kura.web2 в диапазоне версий [2.0.600, 2.4.0], который включен в диапазон версий Eclipse Kura [5.0.0, 5.4.1].

CVE-2019-10244В Eclipse Kura версий до 4.0.0, Web UI пакет и компонентные сервисы, простой Mqtt компонент Artemis и сервис эмуляции местоположения (не является частью дистрибутива устройства) потенциально могут быть целью XXE-атаки из-за неправильной инициализации фабрики и парсера.

CVE-2019-10243В Eclipse Kura версий до 4.0.0, Kura предоставляет версию базового веб-сервера Ui в своих ответах. Это может быть использовано в качестве подсказки злоумышленником для конкретной разработки атак на веб-сервер, запущенный Kura.

CVE-2019-10242В Eclipse Kura версий до 4.0.0, SkinServlet не проверял путь, переданный во время вызова сервлета, что потенциально позволяло осуществлять обход пути в GET-запросах для ограниченного числа типов файлов.

Перейти к вендору →Открыть в каталоге с фильтром по продукту →