CVSS: 6.1EPSS: 0%CPEs: 4EXPL: 0CVE-2018-18997
https://notcve.org/view.php?id=CVE-2018-18997
Pluto Safety PLC Gateway Ethernet devices in ABB GATE-E1 and GATE-E2 all versions allows an unauthenticated attacker using the administrative web interface to insert an HTML/Javascript payload into any of the device properties, which may allow an attacker to display/execute the payload in a visitor browser. Todas las versiones de los dispositivos Pluto Safety PLC Gateway Ethernet ABB GATE-E1 y GATE-E2 permiten un atacante no autenticado, que utiliza el interfaz web del administrador, a insertar una carga útil de HTML/JavaScript en cualquiera de las propiedades del dispositivo, lo que podría permitir a un atacante mostrar/ejecutar dicha carga útil en un navegador de visitante. • http://www.securityfocus.com/bid/106247 https://ics-cert.us-cert.gov/advisories/ICSA-18-352-01 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 9.8EPSS: 0%CPEs: 4EXPL: 0CVE-2018-18995
https://notcve.org/view.php?id=CVE-2018-18995
Pluto Safety PLC Gateway Ethernet devices ABB GATE-E1 and GATE-E2 all versions do not allow authentication to be configured on administrative telnet or web interfaces, which could enable various effects vectors, including conducting device resets, reading or modifying registers, and changing configuration settings such as IP addresses. Ninguna versión de los dispositivos Pluto Safety PLC Gateway Ethernet ABB GATE-E1 y GATE-E2permite la configuración de la autenticación en interfaces del administrador telnet o web, lo que podría habilitar varios vectores de efectos, incluyendo el restablecimiento de dispositivos, la lectura o modificación de registros y el cambio de los ajustes de configuración, como pueden ser las direcciones IP. • http://www.securityfocus.com/bid/106247 https://ics-cert.us-cert.gov/advisories/ICSA-18-352-01 • CWE-306: Missing Authentication for Critical Function •