nvd,anchore_overrides

Ericsson

Уязвимости

Эксплуатируемые

Критический

Высокий

Топ продуктов

Codechecker8 Indoor Connect 88558 Indoor Connect 8855 Firmware8 Network Manager8 Drutt Mobile Service Delivery Platform3 Packet Core Gateway3 Bscs Ix R18 Billing \& Rating Admx2 Bscs Ix R18 Billing \& Rating Mx2 Enterprise Content Management2 Operations Support System-radio And Core2 Operations Support System-radio And Core Firmware2 Packet Core Controller2 Active Library Explorer1 Axc Tigris Multiservice Access Platform1 Evolved Packet Gateway1 Hm220dp Adsl Modem1 Mobile Switching Center Server Bc 18a1 Mobile Switching Center Server Bc 18a Firmware1 Network Location1

Топ уязвимостей

CVE-2024-10081CodeChecker — это инструмент анализа, база данных дефектов и расширение просмотра для Clang Static Analyzer и Clang Tidy. Обход аутентификации происходит, когда URL-адрес API заканчивается на Authentication. Этот обход предоставляет права суперпользователя ко всем конечным точкам API, кроме Authentication. Эти конечные точки включают возможность добавления, редактирования и удаления продуктов, среди прочего. Все конечные точки, кроме /Authentication, подвержены этой уязвимости. Эта проблема затрагивает CodeChecker: до версии 6.24.1 включительно.

CVE-2026-25660CodeChecker - это инструментарий анализатора, база данных дефектов и расширение просмотра для Clang Static Analyzer и Clang Tidy. Обход аутентификации происходит, когда URL заканчивается аутентификацией с определенными вызовами функции. Это обход позволяет назначить произвольное разрешение любому пользователю, существующему в CodeChecker. Эта проблема затрагивает CodeChecker: до 6.27.3.

CVE-2024-10082CodeChecker — это инструмент анализа, база данных дефектов и расширение просмотра для Clang Static Analyzer и Clang Tidy. Путаница в методах аутентификации позволяет войти в систему как встроенный пользователь root из внешней службы. Встроенный пользователь root до версии 6.24.1 включительно генерируется слабым образом, не может быть отключен и имеет универсальный доступ. Эта уязвимость позволяет злоумышленнику, который может создать учетную запись во включенной внешней службе аутентификации, войти в систему как пользователь root и получать доступ и контролировать все, что можно контролировать через веб-интерфейс. Злоумышленнику необходимо получить имя пользователя root, чтобы добиться успеха. Эта проблема затрагивает CodeChecker: до версии 6.24.1 включительно.

CVE-2023-39909Ericsson Network Manager до версии 23.2 неправильно обрабатывает контроль доступа, и, таким образом, неаутентифицированные пользователи с низкими привилегиями могут получить доступ к приложению NCM.

CVE-2022-47531В Ericsson Evolved Packet Gateway (EPG) версий 3.x до 3.25 и 2.x до 2.16 обнаружена проблема, позволяющая аутентифицированным пользователям обходить системный CLI и выполнять команды, которые им разрешено выполнять непосредственно в оболочке UNIX.

CVE-2021-43339В Ericsson Network Location до 2021-07-31 аутентифицированный злоумышленник может внедрять команды через file_name в функциональности экспорта. Например, можно создать нового пользователя-администратора.

CVE-2025-40837В Ericsson Indoor Connect 8855 обнаружена уязвимость «отсутствие проверки прав доступа», позволяющая при эксплуатации получить доступ к системе с привилегиями выше запланированных. Источники: - [1] https://www.ericsson.com/en/about-us/security/psirt/e2025-09-25

CVE-2025-40836В системе Ericsson Indoor Connect 8855 обнаружена уязвимость некорректной проверки входных данных, позволяющая злоумышленнику выполнить команды с повышенными привилегиями. Подробности указаны в advisory E2025‑09‑25 от Ericsson PSIRT. Источники: - https://www.ericsson.com/en/about-us/security/psirt/e2025-09-25

CVE-2025-27261В Ericsson Indoor Connect 8855 обнаружена уязвимость SQL‑инъекции (CWE‑89). При эксплуатации позволяет неавторизованно получать или модифицировать данные, что представляет высокий риск (CVSS 8.7). Уязвимость исправлена в обновлении 2025.Q2; пользователям рекомендуется установить эту версию. Подробнее см. публикацию PSIRT Ericsson. Источники: - [1] https://www.ericsson.com/en/about-us/security/psirt/e2025-09-25

CVE-2025-40842Ericsson Indoor Connect 8855 до 2025 года.Q3 содержит a Уязвимость Cross-Site Scripting (XSS), которая, если она будет использована, может привести к несанкционированное раскрытие и изменение определенной информации.

CVE-2025-27262В Ericsson Indoor Connect 8855 обнаружена уязвимость командной инъекции (CWE‑78), позволяющая повысить привилегии атакующего. Оценка риска — высокий уровень (CVSS 8.5). Исправлена в обновлении 2025.Q2, которое следует установить. Подробности опубликованы в бюллетне PSIRT Ericsson. Источники: - [1] https://www.ericsson.com/en/about-us/security/psirt/e2025-09-25

CVE-2024-53829CodeChecker - это инструмент анализа, база данных дефектов и расширение для просмотра для Clang Static Analyzer и Clang Tidy. Получение кросс-сайтовых запросов позволяет неаутентифицированному злоумышленнику перехватывать аутентификацию вошедшего в систему пользователя и использовать веб-API с теми же правами, включая, но не ограничиваясь, добавлением, удалением или редактированием продуктов. Злоумышленнику необходимо знать ID доступных продуктов, чтобы изменить или удалить их. Злоумышленник не может напрямую эксфильтровать данные (просматривать) из CodeChecker из-за ограничений, связанных с CSRF на основе формы. Эта проблема затрагивает CodeChecker: до 6.24.4.

CVE-2021-41390В Ericsson ECM до версии 18.0 было обнаружено, что Security Provider Endpoint в разделе управления профилями пользователей уязвим для CSV Injection.

CVE-2025-40843CodeChecker - это инструмент для анализатор, база данных дефектов и расширение просмотра для Clang Static Analyzer и Clang Tidy. Версии CodeChecker до 6.26.1 содержат уязвимость переполненного буфера во внутренней библиотеке dldlogger, которая выполняется командой журнала CodeChecker. Эта проблема затрагивает CodeChecker: до 6.26.1.

CVE-2003-1442Веб-страница администрирования для модема Ericsson HM220dp ADSL не требует аутентификации, что может позволить удаленным злоумышленникам получить доступ со стороны LAN.

CVE-2025-27260Эрикссон В версии Indoor Connect 8855 до 2025 года.Q3 содержит неправильную фильтрацию Special Уязвимость элементов, которая, если она используется, может привести к несанкционированному Изменение определенной информации

CVE-2026-25659Эрикссон Версии Packet Core Gateway (PCG) до 1.30 содержат неправильную руль Уязвимость «недостац» (CWE-230), при которой злоумышленник постоянно отправка специально созданного сообщения может привести к деградации сервиса. Удар продолжается до тех пор, пока продолжается атака, но система восстанавливается после сбоев, когда атака прекращается.

CVE-2026-25658Эрикссон Версии Packet Core Gateway (PCG) до 1.30 содержат неправильную руль Уязвимость «недостац» (CWE-230), при которой злоумышленник постоянно отправка специально созданного сообщения может привести к деградации сервиса. Удар продолжается до тех пор, пока продолжается атака, но система восстанавливается после сбоев, когда атака прекращается.

CVE-2026-25657Ericsson Packet Core Gateway (PCG) версии до 1.30 содержат уязвимость неправильную ручась синтактически недействующую структуру (CWE-228), при которой злоумышленник, постоянно отправляющий специально созданное сообщение, может привести к деградации сервиса. Удар продолжается до тех пор, пока продолжается атака, но система восстанавливается после аварий, когда атака прекращается.

CVE-2025-59174Версии Ericsson Packet Core Controller (PCC) до 1.39 содержат уязвимость, при которой злоумышленник, отправляющий большой объем специально созданных сообщений, может привести к ухудшению обслуживания.

CVE-2024-25007Ericsson Network Manager (ENM), версии до 23.1, содержит уязвимость в функции экспорта журнала приложений, где Improper Neutralization of Formula Elements в CSV-файле может привести к выполнению кода или раскрытию информации. Существует ограниченное воздействие на целостность и доступность. Злоумышленник в смежной сети с правами администратора может воспользоваться этой уязвимостью.

CVE-2025-27258Версии Ericsson Network Manager (ENM) до ENM 25.1 GA содержат уязвимость, если она используется, может привести к эскалации привилегий.

CVE-2022-46408Ericsson Network Manager (ENM), версии до 22.1, содержит уязвимость в приложении Network Connectivity Manager (NCM), где неправильная нейтрализация элементов формулы в CSV-файле может привести к удаленному выполнению кода или утечке данных через вредоносные внедренные гиперссылки. Злоумышленнику потребуется административный/повышенный доступ для эксплуатации уязвимости.

CVE-2023-49793CodeChecker — это инструмент анализа, база данных дефектов и расширение для просмотра для Clang Static Analyzer и Clang Tidy. ZIP-файлы, загруженные в конечную точку сервера `CodeChecker store`, не обрабатываются должным образом. Злоумышленник, использующий атаку обхода пути, может загружать и отображать файлы на машине `CodeChecker server`. Уязвимой конечной точкой является `/Default/v6.53/CodeCheckerService@massStoreRun`. Уязвимость обхода пути позволяет читать данные на машине `CodeChecker server` с тем же уровнем разрешений, что и у `CodeChecker server`. Для атаки требуется учетная запись пользователя на `CodeChecker server` с разрешением на хранение на сервере и просмотр сохраненного отчета. Эта уязвимость была исправлена в версии 6.23.

CVE-2021-28488Ericsson Network Manager (ENM) до версии 21.2 имеет некорректное поведение контроля доступа (которое влияет только на уровень доступа, доступный лицам, которым уже была предоставлена роль с высокими привилегиями). Пользователи в одной и той же группе авторизации AMOS могут получать данные управляемой сети, которые не были настроены как доступные для всей группы (т.е. были настроены как доступные только для подмножества этой группы).

Открыть в каталоге с фильтром по вендору →