CVSS: 7.5EPSS: 0%CPEs: 1EXPL: 0CVE-2024-3046
https://notcve.org/view.php?id=CVE-2024-3046
In Eclipse Kura LogServlet component included in versions 5.0.0 to 5.4.1, a specifically crafted request to the servlet can allow an unauthenticated user to retrieve the device logs. Also, downloaded logs may be used by an attacker to perform privilege escalation by using the session id of an authenticated user reported in logs. This issue affects org.eclipse.kura:org.eclipse.kura.web2 version range [2.0.600, 2.4.0], which is included in Eclipse Kura version range [5.0.0, 5.4.1] En el componente Eclipse Kura LogServlet incluido en las versiones 5.0.0 a 5.4.1, una solicitud manipulada específicamente al servlet puede permitir que un usuario no autenticado recupere los registros del dispositivo. Además, un atacante puede utilizar los registros descargados para realizar una escalada de privilegios utilizando la identificación de sesión de un usuario autenticado informado en los registros. Este problema afecta al rango de versiones org.eclipse.kura:org.eclipse.kura.web2 [2.0.600, 2.4.0], que se incluye en el rango de versiones de Eclipse Kura [5.0.0, 5.4.1]. • https://gitlab.eclipse.org/security/vulnerability-reports/-/issues/188 • CWE-303: Incorrect Implementation of Authentication Algorithm •
CVSS: 7.5EPSS: 0%CPEs: 1EXPL: 0CVE-2019-10244
https://notcve.org/view.php?id=CVE-2019-10244
In Eclipse Kura versions up to 4.0.0, the Web UI package and component services, the Artemis simple Mqtt component and the emulator position service (not part of the device distribution) could potentially be target of XXE attack due to an improper factory and parser initialisation. En Eclipse Kura en las versiones anteriores a la 4.0.0, el paquete de interfaz de usuario web y los servicios de componentes, el componente Mqtt simple de Artemis y el servicio de posición de emulador (que no forma parte de la distribución del dispositivo) podrían ser objeto de un ataque XXE debido a una inicialización inadecuada de fábrica del analizador. • http://www.securityfocus.com/bid/107844 https://bugs.eclipse.org/bugs/show_bug.cgi?id=545835 • CWE-611: Improper Restriction of XML External Entity Reference •
CVSS: 5.3EPSS: 0%CPEs: 1EXPL: 0CVE-2019-10243
https://notcve.org/view.php?id=CVE-2019-10243
In Eclipse Kura versions up to 4.0.0, Kura exposes the underlying Ui Web server version in its replies. This can be used as a hint by an attacker to specifically craft attacks to the web server run by Kura. En Eclipse Kura en las versiones anteriores a la 4.0.0, Kura expone la versión subyacente del servidor Web de Ui en sus respuestas. Esto puede ser usado como una pista por un atacante para crear ataques específicos al servidor web ejecutado por Kura. • http://www.securityfocus.com/bid/107844 https://bugs.eclipse.org/bugs/show_bug.cgi?id=545834 • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor CWE-497: Exposure of Sensitive System Information to an Unauthorized Control Sphere •
CVSS: 5.3EPSS: 0%CPEs: 1EXPL: 0CVE-2019-10242
https://notcve.org/view.php?id=CVE-2019-10242
In Eclipse Kura versions up to 4.0.0, the SkinServlet did not checked the path passed during servlet call, potentially allowing path traversal in get requests for a limited number of file types. En Eclipse Kura en las versiones anteriores a la 4.0.0, el SkinServlet no verificó la ruta pasada durante la llamada al servlet, lo que potencialmente permite un salto de directorio al obtener solicitudes para un número limitado de tipos de archivos. • http://www.securityfocus.com/bid/107844 https://bugs.eclipse.org/bugs/show_bug.cgi?id=545835 • CWE-22: Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') •
CVSS: 10.0EPSS: 0%CPEs: 1EXPL: 0CVE-2017-7649
https://notcve.org/view.php?id=CVE-2017-7649
The network enabled distribution of Kura before 2.1.0 takes control over the device's firewall setup but does not allow IPv6 firewall rules to be configured. Still the Equinox console port 5002 is left open, allowing to log into Kura without any user credentials over unencrypted telnet and executing commands using the Equinox "exec" command. As the process is running as "root" full control over the device can be acquired. IPv6 is also left in auto-configuration mode, accepting router advertisements automatically and assigns a MAC address based IPv6 address. La distribución adaptada a la red de Kura en versiones anteriores a la 2.1.0 asume el control de la configuración del firewall del dispositivo, pero no permite la configuración de las reglas del firewall IPv6. • https://bugs.eclipse.org/bugs/show_bug.cgi?id=514681 https://github.com/eclipse/kura/issues/956 • CWE-287: Improper Authentication •