CVE-2022-26669 – ASUS Control Center - SQL Injection
https://notcve.org/view.php?id=CVE-2022-26669
ASUS Control Center is vulnerable to SQL injection. An authenticated remote attacker with general user privilege can inject SQL command to specific API parameters to acquire database schema or access data. ASUS Control Center es vulnerable a una inyección SQL. Un atacante remoto autenticado con privilegio de usuario general puede inyectar un comando SQL a parámetros específicos de la API para adquirir el esquema de la base de datos o acceder a los datos • https://www.twcert.org.tw/tw/cp-132-6056-b0d90-1.html • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •
CVE-2022-26668 – ASUS Control Center - Broken Access Control
https://notcve.org/view.php?id=CVE-2022-26668
ASUS Control Center API has a broken access control vulnerability. An unauthenticated remote attacker can call privileged API functions to perform partial system operations or cause partial disrupt of service. La API de ASUS Control Center presenta una vulnerabilidad de control de acceso rota. Un atacante remoto no autenticado puede llamar a funciones privilegiadas de la API para llevar a cabo operaciones parciales del sistema o causar una interrupción parcial del servicio • https://www.twcert.org.tw/tw/cp-132-6055-c6500-1.html • CWE-269: Improper Privilege Management CWE-863: Incorrect Authorization •