nvd
Unify
Уязвимости
15
Эксплуатируемые
0
Критический
3
Высокий
6
Топ продуктов
Ewave Servletexec4Openstage 204Openstage 404Openstage 604Openscape Desk Phone Ip Sip3Openscape Voice Trace Manager3Openstage Sip3Session Border Controller2Openscape Deployment Service1Openscape Desk Phone Ip 35g Eco Hfa1Openscape Desk Phone Ip 35g Eco Sip1Openscape Desk Phone Ip 35g Eco Sip Firmware1Openscape Desk Phone Ip 35g Hfa1Openscape Desk Phone Ip 35g Hfa Firmware1Openscape Desk Phone Ip 35g Sip1Openscape Desk Phone Ip 35g Sip Firmware1Openscape Desk Phone Ip 55g Hfa1Openscape Desk Phone Ip 55g Hfa Firmware1Openscape Desk Phone Ip 55g Sip1Openscape Desk Phone Ip 55g Sip Firmware1
Топ уязвимостей
CVE-2000-1024eWave ServletExec 3.0C и более ранние версии не ограничивают доступ к Java/JSP сервлету UploadServlet, что позволяет удаленным злоумышленникам загружать файлы и выполнять произвольные команды.
CVE-2023-36619Atos Unify OpenScape Session Border Controller до версии V10 R3.01.03 позволяет выполнять административные скрипты не прошедшим аутентификацию пользователям.
CVE-2014-2652Уязвимость SQL-инъекции в OpenScape Deployment Service (DLS) до 6.x и 7.x до R1.11.3 позволяет удаленным злоумышленникам выполнять произвольные SQL-команды через неуказанные векторы.
CVE-2023-40263В Atos Unify OpenScape Voice Trace Manager V8 до версии V8 R0.9.11 обнаружена проблема. Она позволяет прошедшим проверку подлинности пользователям внедрять команды через ftp.
CVE-2023-36618Atos Unify OpenScape Session Border Controller до версии V10 R3.01.03 позволяет выполнять команды ОС от имени пользователя root пользователям с низкими привилегиями, прошедшим аутентификацию.
CVE-2014-8422Интерфейс веб-управления (WBM) в устройствах Unify (ранее Siemens) OpenStage SIP и OpenScape Desk Phone IP V3 до R3.32.0 генерирует файлы cookie сеанса с недостаточной энтропией, что облегчает удаленным злоумышленникам перехват сеансов посредством атаки методом грубой силы.
CVE-2023-48166Уязвимость обхода каталогов в SOAP Server, интегрированном в Atos Unify OpenScape Voice V10 до V10R3.26.1, позволяет удаленному злоумышленнику просматривать содержимое произвольных файлов в локальной файловой системе. Не прошедший проверку подлинности злоумышленник может получить конфиденциальные файлы, которые позволят скомпрометировать базовую систему.
CVE-2014-8421Устройства Unify (ранее Siemens) OpenStage SIP и OpenScape Desk Phone IP V3 до R3.32.0 позволяют удаленным злоумышленникам получать права суперпользователя, используя SSH-доступ и неправильную собственность (1) ConfigureCoreFile.sh, (2) Traceroute.sh, (3) apps.sh, (4) conversion_java2native.sh, (5) coreCompression.sh, (6) deletePasswd.sh, (7) findHealthSvcFDs.sh, (8) fw_printenv.sh, (9) fw_setenv.sh, (10) hw_wd_kicker.sh, (11) new_rootfs.sh, (12) opera_killSnmpd.sh, (13) opera_startSnmpd.sh, (14) rebootOperaSoftware.sh, (15) removeLogFiles.sh, (16) runOperaServices.sh, (17) setPasswd.sh, (18) startAccTestSvcs.sh, (19) usbNotification.sh или (20) appWeb в /Opera_Deploy.
CVE-2000-0498Unify eWave ServletExec позволяет удаленному злоумышленнику просматривать исходный код программы JSP, запрашивая URL-адрес, который предоставляет расширение JSP в верхнем регистре.
CVE-2023-40262В Atos Unify OpenScape Voice Trace Manager V8 до версии V8 R0.9.11 обнаружена проблема. Она позволяет не прошедшим проверку подлинности Stored Cross-Site Scripting (XSS) в компоненте администрирования через Access Request.
CVE-2015-8251OpenStage 60 и OpenScape Desk Phone IP 55G SIP V3, OpenStage 15, 20E, 20 и 40 и OpenScape Desk Phone IP 35G SIP V3, OpenScape Desk Phone IP 35G Eco SIP V3, OpenStage 60 и OpenScape Desk Phone IP 55G HFA V3, OpenStage 15, 20E, 20 и 40 и OpenScape Desk Phone IP 35G HFA V3 и OpenScape Desk Phone IP 35G Eco HFA V3 используют неуникальные X.509 сертификаты и SSH host keys.
CVE-2000-1114Unify ServletExec AS v3.0C позволяет удаленным злоумышленникам читать исходный код для JSP-страниц через HTTP-запрос, который заканчивается символами, такими как ".", или "+", или "%20".
CVE-2000-1025Механизм сервлетов JSP/Java eWave ServletExec, версии 3.0C и более ранние, позволяет удаленным злоумышленникам вызвать отказ в обслуживании через URL, содержащий строку "/servlet/", который вызывает сервлет ServletExec и вызывает исключение, если сервлет уже запущен.
CVE-2014-9563Уязвимость CRLF-инъекции в веб-интерфейсе управления (WBM) в устройствах Unify (ранее Siemens) OpenStage SIP и OpenScape Desk Phone IP V3 до R3.32.0 позволяет удаленным аутентифицированным пользователям изменять пароль root и, следовательно, получать доступ к порту отладки с помощью последовательного интерфейса через параметр ssh-password в page.cmd.
CVE-2023-40264В Atos Unify OpenScape Voice Trace Manager V8 до версии V8 R0.9.11 обнаружена проблема. Она позволяет прошедшим проверку подлинности пользователям осуществлять обход путей в пользовательском интерфейсе.