nvd,bdu
Westermo
Уязвимости
23
Эксплуатируемые
0
Критический
4
Высокий
8
Топ продуктов
Топ уязвимостей
CVE-2020-12504Уязвимость из-за неправильной авторизации в Pepperl+Fuchs P+F Comtrol RocketLinx ES7510-XT, ES8509-XT, ES8510-XT, ES9528-XTv2, ES7506, ES7510, ES7528, ES8508, ES8508F, ES8510, ES8510-XTE, ES9528/ES9528-XT (все версии) и ICRL-M-8RJ45/4SFP-G-DIN, ICRL-M-16RJ45/4CP-G-DIN FW 1.2.3 и более ранних имеет активный TFTP-сервис.
BDU:2024-04981Уязвимость микропрограммного обеспечения промышленного преобразователя последовательных интерфейсов в Ethernet Westermo EDW-100 связана с хранением пароля в виде открытого текста в файле конфигурации. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, раскрыть информацию о имени пользователя и пароле для учетной записи произвольного пользователя путем отправки специально сформированного GET-запроса
BDU:2024-04980Уязвимость файла image.bin микропрограммного обеспечения промышленного преобразователя последовательных интерфейсов в Ethernet Westermo EDW-100 связана с использованием жестко закодированных учетных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, раскрыть информацию о имени пользователя и пароле для учетной записи root
CVE-2015-7923Westermo WeOS до версии 4.19.0 использует один и тот же SSL-ключ для разных установок клиентов, что упрощает злоумышленникам типа "человек посередине" обход механизмов криптографической защиты, используя знания ключа.
CVE-2023-38579Токен межсайтовой подделки запросов в запросе может быть предсказуемым или легко угадываемым, что позволяет злоумышленникам создавать вредоносные запросы, которые могут быть запущены жертвой неосознанно. В случае успешной CSRF-атаки злоумышленник может заставить пользователя-жертву выполнить действие непреднамеренно.
CVE-2018-19612Функциональность /uploadfile? в маршрутизаторах Westermo DR-250 Pre-5162 и DR-260 Pre-5162 позволяет удаленным пользователям загружать вредоносные типы файлов и выполнять код ASP.
CVE-2017-12703Проблема межсайтовой подделки запросов (CSRF) была обнаружена в Westermo MRD-305-DIN версий старше 1.7.5.0 и MRD-315, MRD-355, MRD-455 версий старше 1.7.5.0. Приложение не проверяет, был ли запрос намеренно предоставлен пользователем, что позволяет злоумышленнику обманом заставить пользователя отправить вредоносный запрос на сервер.
CVE-2024-35246Злоумышленник может вызвать отказ в обслуживании, отправляя много пакетов повторно.
CVE-2024-32943Злоумышленник может вызвать состояние отказа в обслуживании, многократно отправляя множество SSH-пакетов.
CVE-2023-45735Потенциальный злоумышленник, имеющий доступ к устройству Westermo Lynx, может выполнить вредоносный код, который может повлиять на правильное функционирование устройства.
CVE-2016-5816Обнаружена проблема использования жестко закодированного криптографического ключа в MRD-305-DIN версий старше 1.7.5.0 и MRD-315, MRD-355, MRD-455 версий старше 1.7.5.0. Устройство использует жестко закодированные частные криптографические ключи, которые могут позволить злоумышленнику расшифровать трафик из любого другого источника.
BDU:2024-04822Уязвимость микропрограммного обеспечения коммутатора Westermo L210-F2G Lynx связана с недостаточным контролем за частотой взаимодействий. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании путем отправки специально созданных SSH-пакетов
CVE-2024-37183Учетные данные открытым текстом и идентификатор сеанса могут быть перехвачены сетевым сниффером.
CVE-2023-45213Потенциальный злоумышленник, имеющий доступ к устройству Westermo Lynx, сможет выполнить вредоносный код, который может повлиять на правильное функционирование устройства.
CVE-2020-7227Устройства Westermo MRD-315 1.7.3 и 1.7.4 имеют уязвимость раскрытия информации, которая позволяет аутентифицированному удаленному злоумышленнику получить исходный код различных функций веб-приложения через запросы, в которых отсутствуют определенные обязательные параметры. Это влияет на ifaces-diag.asp, system.asp, backup.asp, sys-power.asp, ifaces-wls.asp, ifaces-wls-pkt.asp и ifaces-wls-pkt-adv.asp.
CVE-2018-19613Маршрутизаторы Westermo DR-250 Pre-5162 и DR-260 Pre-5162 допускают CSRF.
CVE-2018-19614XSS существует в функции /cmdexec/cmdexe?cmd= в маршрутизаторах Westermo DR-250 Pre-5162 и DR-260 Pre-5162.
CVE-2023-40544Злоумышленник, имеющий доступ к сети, где расположены уязвимые устройства, может совершать вредоносные действия для получения конфиденциальной информации, передаваемой через TCP-соединения, с помощью сниффера.
CVE-2023-45227Злоумышленник, имеющий доступ к веб-приложению с уязвимым программным обеспечением, может внедрить произвольный JavaScript, внедрив полезную нагрузку межсайтового скриптинга в параметр "dns.0.server".
CVE-2023-45222Злоумышленник, имеющий доступ к веб-приложению с уязвимым программным обеспечением, может внедрить произвольный JavaScript, внедрив полезную нагрузку межсайтового скриптинга в параметр "autorefresh".
CVE-2023-42765Злоумышленник, имеющий доступ к уязвимому программному обеспечению, может внедрить произвольный JavaScript, внедрив межсайтовый скриптовый код в параметр «имя пользователя» в конфигурации SNMP.
CVE-2023-40143Злоумышленник, имеющий доступ к веб-приложению Westermo Lynx, содержащему уязвимое программное обеспечение, может внедрить произвольный код JavaScript, внедрив межсайтовый скриптовый код в параметр "forward.0.domain".
CVE-2017-12709Проблема использования жестко закодированных учетных данных была обнаружена в MRD-305-DIN версий старше 1.7.5.0 и MRD-315, MRD-355, MRD-455 версий старше 1.7.5.0. Устройство использует жестко закодированные учетные данные, что может позволить несанкционированный локальный доступ к устройству с низкими привилегиями.