nvd

Voltronicpower

Уязвимости

Эксплуатируемые

Критический

Высокий

Топ продуктов

Топ уязвимостей

CVE-2023-51595Voltronic Power ViewPower Pro selectDeviceListBy - уязвимость, связанная с SQL-инъекцией и удаленным выполнением кода. Эта уязвимость позволяет удаленным злоумышленникам выполнять произвольный код в затронутых установках Voltronic Power ViewPower Pro. Для эксплуатации этой уязвимости аутентификация не требуется. Конкретная ошибка существует в методе selectDeviceListBy. Проблема возникает из-за отсутствия надлежащей проверки строки, предоставленной пользователем, перед ее использованием для создания SQL-запросов. Злоумышленник может использовать эту уязвимость для выполнения кода в контексте LOCAL SERVICE. ZDI-CAN-22163.

CVE-2023-51593Voltronic Power ViewPower Pro - уязвимость, связанная с внедрением языка выражений и удаленным выполнением кода. Эта уязвимость позволяет удаленным злоумышленникам выполнять произвольный код в затронутых установках Voltronic Power ViewPower Pro. Для эксплуатации этой уязвимости аутентификация не требуется. Конкретная ошибка существует в зависимости Struts2. Проблема возникает из-за использования библиотеки, уязвимой для внедрения языка выражений. Злоумышленник может использовать эту уязвимость для выполнения кода в контексте LOCAL SERVICE. ZDI-CAN-22095.

CVE-2023-51590Voltronic Power ViewPower Pro UpLoadAction - уязвимость, связанная с неограниченной загрузкой файлов и удаленным выполнением кода. Эта уязвимость позволяет удаленным злоумышленникам выполнять произвольный код в затронутых установках Voltronic Power ViewPower Pro. Для эксплуатации этой уязвимости аутентификация не требуется. Конкретная ошибка существует в классе UpLoadAction. Проблема возникает из-за отсутствия надлежащей проверки данных, предоставленных пользователем, что может позволить загружать произвольные файлы. Злоумышленник может использовать эту уязвимость для выполнения кода в контексте LOCAL SERVICE. ZDI-CAN-22080.

CVE-2023-51586Voltronic Power ViewPower Pro selectEventConfig - уязвимость, связанная с SQL-инъекцией и удаленным выполнением кода. Эта уязвимость позволяет удаленным злоумышленникам выполнять произвольный код в затронутых установках Voltronic Power ViewPower Pro. Для эксплуатации этой уязвимости аутентификация не требуется. Конкретная ошибка существует в методе selectEventConfig. Проблема возникает из-за отсутствия надлежащей проверки строки, предоставленной пользователем, перед ее использованием для создания SQL-запросов. Злоумышленник может использовать эту уязвимость для выполнения кода в контексте LOCAL SERVICE. ZDI-CAN-22072.

CVE-2023-51583Voltronic Power ViewPower UpsScheduler - уязвимость, связанная с раскрытием опасного метода и удаленным выполнением кода. Эта уязвимость позволяет удаленным злоумышленникам выполнять произвольный код в затронутых установках Voltronic Power ViewPower. Для эксплуатации этой уязвимости аутентификация не требуется. Конкретная ошибка существует в классе UpsScheduler. Проблема возникает из-за раскрытого опасного метода. Злоумышленник может использовать эту уязвимость для выполнения кода в контексте SYSTEM. ZDI-CAN-22036.

CVE-2023-51582Voltronic Power ViewPower LinuxMonitorConsole - уязвимость, связанная с раскрытием опасного метода и удаленным выполнением кода. Эта уязвимость позволяет удаленным злоумышленникам выполнять произвольный код в затронутых установках Voltronic Power ViewPower. Для эксплуатации этой уязвимости аутентификация не требуется. Конкретная ошибка существует в классе LinuxMonitorConsole. Проблема возникает из-за раскрытого опасного метода. Злоумышленник может использовать эту уязвимость для выполнения кода в контексте текущего пользователя. ZDI-CAN-22035.

CVE-2023-51581Voltronic Power ViewPower MacMonitorConsole - уязвимость, связанная с раскрытием опасного метода и удаленным выполнением кода. Эта уязвимость позволяет удаленным злоумышленникам выполнять произвольный код в затронутых установках Voltronic Power ViewPower. Для эксплуатации этой уязвимости аутентификация не требуется. Конкретная ошибка существует в классе MacMonitorConsole. Проблема возникает из-за раскрытого опасного метода. Злоумышленник может использовать эту уязвимость для выполнения кода в контексте текущего пользователя. ZDI-CAN-22034.

CVE-2023-51576Voltronic Power ViewPower - уязвимость, связанная с десериализацией ненадежных данных и удаленным выполнением кода. Эта уязвимость позволяет удаленным злоумышленникам выполнять произвольный код в затронутых установках Voltronic Power ViewPower. Для эксплуатации этой уязвимости аутентификация не требуется. Конкретная ошибка существует в интерфейсе RMI, который по умолчанию прослушивает TCP-порт 51099. Проблема возникает из-за отсутствия надлежащей проверки данных, предоставленных пользователем, что может привести к десериализации ненадежных данных. Злоумышленник может использовать эту уязвимость для выполнения кода в контексте SYSTEM. ZDI-CAN-22012.

CVE-2023-51575Voltronic Power ViewPower MonitorConsole - уязвимость, связанная с раскрытием опасного метода и удаленным выполнением кода. Эта уязвимость позволяет удаленным злоумышленникам выполнять произвольный код в затронутых установках Voltronic Power ViewPower. Для эксплуатации этой уязвимости аутентификация не требуется. Конкретная ошибка существует в классе MonitorConsole. Проблема возникает из-за раскрытого опасного метода. Злоумышленник может использовать эту уязвимость для выполнения кода в контексте текущего пользователя. ZDI-CAN-22011.

CVE-2023-51574Voltronic Power ViewPower updateManagerPassword - уязвимость, связанная с раскрытием опасного метода и обходом аутентификации. Эта уязвимость позволяет удаленным злоумышленникам обходить аутентификацию в затронутых установках Voltronic Power ViewPower. Для эксплуатации этой уязвимости аутентификация не требуется. Конкретная ошибка существует в методе updateManagerPassword. Проблема возникает из-за раскрытия опасной функции. Злоумышленник может использовать эту уязвимость для обхода аутентификации в системе. ZDI-CAN-22010.

CVE-2023-51573Voltronic Power ViewPower Pro updateManagerPassword - уязвимость, связанная с раскрытием опасной функции и обходом аутентификации. Эта уязвимость позволяет удаленным злоумышленникам обходить аутентификацию в затронутых установках Voltronic Power ViewPower Pro. Для эксплуатации этой уязвимости аутентификация не требуется. Конкретная ошибка существует в функции updateManagerPassword. Проблема возникает из-за раскрытия опасной функции. Злоумышленник может использовать эту уязвимость для обхода аутентификации в системе. ZDI-CAN-21203.

CVE-2023-51572Уязвимость Voltronic Power ViewPower Pro getMacAddressByIp Command Injection, позволяющая удаленно выполнить код. Эта уязвимость позволяет удаленным злоумышленникам выполнять произвольный код на уязвимых установках Voltronic Power ViewPower Pro. Для эксплуатации этой уязвимости не требуется аутентификация. Конкретный недостаток существует в функции getMacAddressByIP. Проблема возникает из-за отсутствия надлежащей проверки строки, предоставленной пользователем, перед ее использованием для выполнения системного вызова. Злоумышленник может использовать эту уязвимость для выполнения кода в контексте SYSTEM. Was ZDI-CAN-21163.

CVE-2023-51570Уязвимость Voltronic Power ViewPower Pro Deserialization of Untrusted Data, позволяющая удаленно выполнить код. Эта уязвимость позволяет удаленным злоумышленникам выполнять произвольный код на уязвимых установках Voltronic Power ViewPower Pro. Для эксплуатации этой уязвимости не требуется аутентификация. Конкретный недостаток существует в интерфейсе RMI, который по умолчанию прослушивает TCP-порт 41009. Проблема возникает из-за отсутствия надлежащей проверки данных, предоставленных пользователем, что может привести к десериализации ненадежных данных. Злоумышленник может использовать эту уязвимость для выполнения кода в контексте SYSTEM. Was ZDI-CAN-21012.

CVE-2023-39073Проблема в SNMP Web Pro v.1.1 позволяет удаленному злоумышленнику выполнить произвольный код и получить конфиденциальную информацию через специально созданный запрос.

CVE-2023-33274Механизм аутентификации в PowerShield SNMP Web Pro 1.1 содержит уязвимость, позволяющую неаутентифицированным пользователям напрямую получать доступ к скриптам Common Gateway Interface (CGI) без надлежащей идентификации или авторизации. Эта уязвимость возникает из-за отсутствия надлежащей проверки файлов cookie и затрагивает все экземпляры SNMP Web Pro 1.1 без включенной аутентификации HTTP Digest, независимо от пароля, используемого для веб-интерфейса.

CVE-2023-51585Voltronic Power ViewPower USBCommEx shutdown - уязвимость, связанная с внедрением команд и удаленным выполнением кода. Эта уязвимость позволяет удаленным злоумышленникам выполнять произвольный код в затронутых установках Voltronic Power ViewPower Pro. Для эксплуатации этой уязвимости требуется взаимодействие с пользователем, так как администратор должен запустить операцию завершения работы. Конкретная ошибка существует в методе shutdown. Проблема возникает из-за отсутствия надлежащей проверки строки, предоставленной пользователем, перед ее использованием для выполнения системного вызова. Злоумышленник может использовать эту уязвимость для выполнения кода в контексте текущего пользователя. ZDI-CAN-22071.

CVE-2023-51584Voltronic Power ViewPower USBCommEx shutdown - уязвимость, связанная с раскрытием опасного метода и удаленным выполнением кода. Эта уязвимость позволяет удаленным злоумышленникам выполнять произвольный код в затронутых установках Voltronic Power ViewPower Pro. Для эксплуатации этой уязвимости требуется взаимодействие с пользователем, так как администратор должен запустить операцию завершения работы. Конкретная ошибка существует в методе shutdown. Проблема возникает из-за раскрытого опасного метода. Злоумышленник может использовать эту уязвимость для выполнения кода в контексте текущего пользователя. ZDI-CAN-22065.

CVE-2023-51588Voltronic Power ViewPower Pro MySQL - уязвимость, связанная с использованием жестко закодированных учетных данных и локальным повышением привилегий. Эта уязвимость позволяет локальным злоумышленникам повышать свои привилегии в затронутых установках Voltronic Power ViewPower Pro. Злоумышленник должен сначала получить возможность выполнять код с низкими привилегиями в целевой системе, чтобы использовать эту уязвимость. Конкретная ошибка существует в конфигурации экземпляра MySQL. Проблема возникает из-за жестко закодированных учетных данных базы данных. Злоумышленник может использовать эту уязвимость для повышения привилегий и выполнения произвольного кода в контексте SYSTEM. ZDI-CAN-22075.

CVE-2023-51579Voltronic Power ViewPower - уязвимость, связанная с некорректным назначением разрешений и локальным повышением привилегий. Эта уязвимость позволяет локальным злоумышленникам повышать свои привилегии в затронутых установках Voltronic Power ViewPower. Злоумышленник должен сначала получить возможность выполнять код с низкими привилегиями в целевой системе, чтобы использовать эту уязвимость. Конкретная ошибка существует в установщике продукта. Проблема возникает из-за неправильных разрешений, установленных для папок. Злоумышленник может использовать эту уязвимость для повышения привилегий и выполнения произвольного кода в контексте SYSTEM. ZDI-CAN-22025.

CVE-2023-51577Voltronic Power ViewPower setShutdown - уязвимость, связанная с раскрытием опасного метода и локальным повышением привилегий. Эта уязвимость позволяет локальным злоумышленникам повышать свои привилегии в затронутых установках Voltronic Power ViewPower. Злоумышленник должен сначала получить возможность выполнять код с низкими привилегиями в целевой системе, чтобы использовать эту уязвимость. Конкретная ошибка существует в методе setShutdown. Проблема возникает из-за раскрытого опасного метода. Злоумышленник может использовать эту уязвимость для повышения привилегий и выполнения произвольного кода в контексте SYSTEM. ZDI-CAN-22023.

CVE-2023-51591Voltronic Power ViewPower Pro doDocument - уязвимость, связанная с обработкой XML External Entity и раскрытием информации. Эта уязвимость позволяет удаленным злоумышленникам раскрывать конфиденциальную информацию в затронутых установках Voltronic Power ViewPower Pro. Для эксплуатации этой уязвимости аутентификация не требуется. Конкретная ошибка существует в методе doDocument. Из-за неправильного ограничения ссылок XML External Entity (XXE) специально созданный документ, указывающий URI, заставляет XML-парсер получать доступ к URI и встраивать содержимое обратно в XML-документ для дальнейшей обработки. Злоумышленник может использовать эту уязвимость для раскрытия информации в контексте LOCAL SERVICE. ZDI-CAN-22081.

CVE-2023-51587Voltronic Power ViewPower getModbusPassword - уязвимость, связанная с отсутствием аутентификации и раскрытием информации. Эта уязвимость позволяет удаленным злоумышленникам раскрывать конфиденциальную информацию в затронутых установках Voltronic Power ViewPower. Для эксплуатации этой уязвимости аутентификация не требуется. Конкретная ошибка существует в методе getModbusPassword. Проблема возникает из-за отсутствия аутентификации перед предоставлением доступа к функциональности. Злоумышленник может использовать эту уязвимость для раскрытия сохраненных учетных данных, что приведет к дальнейшему компрометации. ZDI-CAN-22073.

CVE-2023-51578Voltronic Power ViewPower MonitorConsole - уязвимость типа «отказ в обслуживании», связанная с раскрытием опасного метода. Эта уязвимость позволяет удаленным злоумышленникам создавать условия отказа в обслуживании на затронутых установках Voltronic Power ViewPower. Для эксплуатации этой уязвимости аутентификация не требуется. Конкретная ошибка существует в классе MonitorConsole. Проблема возникает из-за раскрытого опасного метода. Злоумышленник может использовать эту уязвимость для создания условия отказа в обслуживании в системе. ZDI-CAN-22024.

CVE-2023-51571Уязвимость Voltronic Power ViewPower Pro SocketService Missing Authentication Denial-of-Service. Эта уязвимость позволяет удаленным злоумышленникам создать условие отказа в обслуживании на уязвимых установках Voltronic Power ViewPower Pro. Для эксплуатации этой уязвимости не требуется аутентификация. Конкретный недостаток существует в модуле SocketService, который по умолчанию прослушивает UDP-порт 41222. Проблема возникает из-за отсутствия аутентификации перед предоставлением доступа к функциональности. Злоумышленник может использовать эту уязвимость для создания условия отказа в обслуживании в системе. Was ZDI-CAN-21162.

CVE-2023-49563Межсайтовый скриптинг (XSS) в Voltronic Power SNMP Web Pro v.1.1 позволяет злоумышленнику выполнять произвольный код с помощью специально созданного скрипта в запросе к веб-серверу.

Открыть в каталоге с фильтром по вендору →