Flexair
Уязвимости
10
Эксплуатируемые
0
Макс. CVSS
9.8
Макс. EPSS
0.31419
Распределение по критичности
Критический
3
Высокий
7
Средний
0
Низкий
0
Затронутые диапазоны версий
≤ 2.3.38
Также сопоставлено как (исходные строки): flexair
Топ уязвимостей
CVE-2019-7668Устройства Prima Systems FlexAir имеют учетные данные по умолчанию.
CVE-2019-7667Prima Systems FlexAir, версии 2.3.38 и более ранние. Приложение генерирует файлы резервных копий базы данных с предсказуемым именем, и злоумышленник может использовать грубую силу для определения имени файла резервной копии базы данных. Злоумышленник может использовать эту проблему для загрузки файла базы данных и раскрытия информации для входа в систему, что может позволить злоумышленнику обойти аутентификацию и получить полный доступ к системе.
CVE-2019-7671Prima Systems FlexAir, версии 2.3.38 и более ранние. Параметры, отправляемые в скрипты, неправильно очищаются перед возвратом пользователю, что может позволить злоумышленнику выполнять произвольный код в сеансе браузера пользователя в контексте затронутого сайта.
CVE-2019-9189Prima Systems FlexAir, версии 2.4.9api3 и более ранние. Приложение позволяет загружать произвольные скрипты Python при настройке главного центрального контроллера. Эти скрипты могут быть немедленно выполнены из-за выполнения кода root, а не от имени пользователя веб-сервера, что позволяет аутентифицированному злоумышленнику получить полный доступ к системе.
CVE-2019-7672Prima Systems FlexAir, версии 2.3.38 и более ранние. Flash-версия веб-интерфейса содержит жестко запрограммированное имя пользователя и пароль, что может позволить прошедшему проверку подлинности злоумышленнику повысить свои привилегии.
CVE-2019-7669Prima Systems FlexAir, версии 2.3.38 и более ранние. Неправильная проверка расширений файлов при загрузке файлов может позволить удаленному злоумышленнику, прошедшему проверку подлинности, загружать и выполнять вредоносные приложения в веб-каталоге приложения с привилегиями root.
CVE-2019-7666Prima Systems FlexAir, версии 2.3.38 и более ранние. Приложение допускает неправильную аутентификацию с использованием значения хеша MD5 пароля, что может позволить злоумышленнику, имеющему доступ к базе данных, войти в систему как администратор без расшифровки пароля.
CVE-2019-7281Prima Systems FlexAir, версии 2.3.38 и более ранние. Не прошедший проверку подлинности пользователь может отправлять неподтвержденные HTTP-запросы, что может позволить злоумышленнику выполнять определенные действия с правами администратора, если зарегистрированный пользователь посещает вредоносный веб-сайт.
CVE-2019-7280Prima Systems FlexAir, версии 2.3.38 и более ранние. Идентификатор сеанса имеет недостаточную длину и может быть использован путем brute force, что может позволить удаленному злоумышленнику получить действительный сеанс и обойти аутентификацию.
CVE-2019-7670Prima Systems FlexAir, версии 2.3.38 и более ранние. Приложение неправильно нейтрализует специальные элементы, которые могут изменить предполагаемую команду ОС, когда она отправляется в подчиненный компонент, что может позволить злоумышленникам выполнять команды непосредственно в операционной системе.