Orvc
Уязвимости
10
Эксплуатируемые
0
Макс. CVSS
10
Макс. EPSS
0.00764
Распределение по критичности
Критический
3
Высокий
5
Средний
2
Низкий
0
Затронутые диапазоны версий
< 7.2.0< 7.3< 7.3.0
Также сопоставлено как (исходные строки): orvc
Топ уязвимостей
CVE-2023-31241Облачные серверы Snap One OvrC содержат маршрут, который злоумышленник может использовать для обхода требований и получения устройств без каких-либо условий.
CVE-2023-31240Версии Snap One OvrC Pro до 7.2 имеют собственный локально работающий веб-сервер, доступный как из локальной сети, так и удаленно. OvrC cloud содержит скрытую учетную запись суперпользователя, доступную через жестко закодированные учетные данные.
CVE-2023-28386Устройства Snap One OvrC Pro версий 7.2 и более ранних неправильно проверяют обновления прошивки. Устройство вычисляет только хэш MD5 прошивки и не проверяет с помощью механизма закрытого-открытого ключа. Отсутствие полной системы PKI для подписи прошивки может позволить злоумышленникам загружать произвольные обновления прошивки, что приведет к выполнению кода.
CVE-2024-50381Существует уязвимость в облаке Snap One OVRC, при которой злоумышленник может выдавать себя за устройство Hub и отправлять запросы на добавление и удаление устройств. Злоумышленнику нужно только предоставить MAC-адрес целевого устройства и может отправить запрос на его удаление из исходного подключения и отправить запрос на его добавление.
CVE-2024-50380Облако Snap One OVRC использует MAC-адрес в качестве идентификатора для предоставления информации по запросу. Злоумышленник может выдавать себя за другие устройства, предоставляя перечисленные MAC-адреса, и получать конфиденциальную информацию об устройстве.
CVE-2023-31193В версиях Snap One OvrC Pro до 7.3 используются HTTP-соединения при загрузке программы со своих серверов. Поскольку они не используют HTTPS, устройства OvrC Pro подвержены эксплуатации.
CVE-2023-28649Концентратор на облачной платформе Snap One OvrC — это устройство, используемое для централизации и управления вложенными устройствами, подключенными к нему. Существует уязвимость, при которой злоумышленник может выдать себя за концентратор и отправлять запросы устройства для запроса уже запрошенных устройств. Облачная платформа OvrC получает запросы, но не проверяет, управляются ли найденные устройства уже другим пользователем.
CVE-2023-25183В версиях Snap One OvrC Pro до 7.2, когда выполнен вход в учетную запись суперпользователя, появляется новая функциональность, которая может позволить пользователям выполнять произвольные команды на устройстве-концентраторе.
CVE-2023-31245Устройства, использующие облако Snap One OvrC, отправляются на веб-адрес при доступе к веб-интерфейсу управления с использованием HTTP-соединения. Злоумышленники могут выдавать себя за устройство и предоставлять вредоносную информацию об интерфейсе веб-сервера устройства. Предоставляя вредоносные параметры, злоумышленник может перенаправить пользователя в произвольные и опасные места в Интернете.
CVE-2023-28412При предоставлении случайного MAC-адреса облачные серверы Snap One OvrC возвращают информацию об устройстве. MAC-адрес устройств можно перечислить в ходе атаки, и облако OvrC раскроет их информацию.