CVSS: 7.3EPSS: 0%CPEs: 5EXPL: 0CVE-2021-41302 – ECOA BAS controller - Missing Encryption of Sensitive Data
https://notcve.org/view.php?id=CVE-2021-41302
30 Sep 2021 — ECOA BAS controller stores sensitive data (backup exports) in clear-text, thus the unauthenticated attacker can remotely query user password and obtain user’s privilege. El controlador ECOA BAS almacena datos confidenciales (exportaciones de copias de seguridad) en texto sin cifrar, por lo que un atacante no autenticado puede consultar remotamente la contraseña del usuario y alcanzar sus privilegios • https://www.twcert.org.tw/tw/cp-132-5138-d40ae-1.html • CWE-311: Missing Encryption of Sensitive Data CWE-312: Cleartext Storage of Sensitive Information •
CVSS: 10.0EPSS: 0%CPEs: 5EXPL: 0CVE-2021-41301 – ECOA BAS controller - Exposure of Sensitive Information to an Unauthorized Actor
https://notcve.org/view.php?id=CVE-2021-41301
30 Sep 2021 — ECOA BAS controller is vulnerable to configuration disclosure when direct object reference is made to the specific files using an HTTP GET request. This will enable the unauthenticated attacker to remotely disclose sensitive information and help her in authentication bypass, privilege escalation and full system access. El controlador ECOA BAS es vulnerable a una divulgación de la configuración cuando se hace referencia directa a los archivos específicos mediante una petición HTTP GET. Esto permitirá al atac... • https://www.twcert.org.tw/tw/cp-132-5137-730a6-1.html • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor CWE-639: Authorization Bypass Through User-Controlled Key •
CVSS: 9.8EPSS: 0%CPEs: 5EXPL: 0CVE-2021-41300 – ECOA BAS controller - Insufficiently Protected Credentials-2
https://notcve.org/view.php?id=CVE-2021-41300
30 Sep 2021 — ECOA BAS controller’s special page displays user account and passwords in plain text, thus unauthenticated attackers can access the page and obtain privilege with full functionality. La página especial del controlador ECOA BAS muestra la cuenta de usuario y las contraseñas en texto plano, por lo que unos atacantes no autenticados pueden acceder a la página y alcanzar privilegios con plena funcionalidad • https://www.twcert.org.tw/tw/cp-132-5136-3e315-1.html • CWE-522: Insufficiently Protected Credentials •
CVSS: 10.0EPSS: 0%CPEs: 5EXPL: 0CVE-2021-41299 – ECOA BAS controller - Use of Hard-coded Credentials
https://notcve.org/view.php?id=CVE-2021-41299
30 Sep 2021 — ECOA BAS controller is vulnerable to hard-coded credentials within its Linux distribution image, thus remote attackers can obtain administrator’s privilege without logging in. El controlador ECOA BAS es vulnerable a unas credenciales embebidas en su imagen de distribución de Linux, por lo que los atacantes remotos pueden alcanzar privilegios de administrador sin iniciar sesión • https://www.twcert.org.tw/tw/cp-132-5135-a9f5c-1.html • CWE-798: Use of Hard-coded Credentials •
CVSS: 8.8EPSS: 0%CPEs: 5EXPL: 0CVE-2021-41298 – ECOA BAS controller - Improper Access Control
https://notcve.org/view.php?id=CVE-2021-41298
30 Sep 2021 — ECOA BAS controller is vulnerable to insecure direct object references that occur when the application provides direct access to objects based on user-supplied input. As a result of this vulnerability, attackers with general user's privilege can remotely bypass authorization and access the hidden resources in the system and execute privileged functionalities. El controlador ECOA BAS es vulnerable a las referencias directas a objetos no seguro que se producen cuando la aplicación proporciona acceso directo a... • https://www.twcert.org.tw/tw/cp-132-5134-39f74-1.html • CWE-284: Improper Access Control CWE-639: Authorization Bypass Through User-Controlled Key •
CVSS: 8.8EPSS: 0%CPEs: 5EXPL: 0CVE-2021-41297 – ECOA BAS controller - Insufficiently Protected Credentials-1
https://notcve.org/view.php?id=CVE-2021-41297
30 Sep 2021 — ECOA BAS controller is vulnerable to weak access control mechanism allowing authenticated user to remotely escalate privileges by disclosing credentials of administrative accounts in plain-text. El controlador ECOA BAS es vulnerable a un mecanismo de control de acceso débil permitiendo al usuario autenticado escalar remotamente sus privilegios al divulgar las credenciales de las cuentas administrativas en texto plano • https://www.twcert.org.tw/tw/cp-132-5133-f3c4b-1.html • CWE-522: Insufficiently Protected Credentials •
CVSS: 9.8EPSS: 0%CPEs: 5EXPL: 0CVE-2021-41296 – ECOA BAS controller - Weak Password Requirements
https://notcve.org/view.php?id=CVE-2021-41296
30 Sep 2021 — ECOA BAS controller uses weak set of default administrative credentials that can be easily guessed in remote password attacks and gain full control of the system. El controlador ECOA BAS usa un conjunto débil de credenciales administrativas predeterminadas que pueden ser fácilmente adivinadas en ataques de contraseñas remotas y conseguir el control total del sistema • https://www.twcert.org.tw/tw/cp-132-5132-65705-1.html • CWE-521: Weak Password Requirements •
CVSS: 8.8EPSS: 0%CPEs: 5EXPL: 0CVE-2021-41295 – ECOA BAS controller - Cross-Site Request Forgery (CSRF)
https://notcve.org/view.php?id=CVE-2021-41295
30 Sep 2021 — ECOA BAS controller has a Cross-Site Request Forgery vulnerability, thus authenticated attacker can remotely place a forged request at a malicious web page and execute CRUD commands (GET, POST, PUT, DELETE) to perform arbitrary operations in the system. El controlador ECOA BAS presenta una vulnerabilidad de tipo Cross-Site Request Forgery, por lo que un atacante autenticado puede colocar remotamente una petición falsificada en una página web maliciosa y ejecutar comandos CRUD (GET, POST, PUT, DELETE) para l... • https://www.twcert.org.tw/tw/cp-132-5131-c653b-1.html • CWE-352: Cross-Site Request Forgery (CSRF) •
CVSS: 9.1EPSS: 0%CPEs: 5EXPL: 0CVE-2021-41294 – ECOA BAS controller - Path Traversal-4
https://notcve.org/view.php?id=CVE-2021-41294
30 Sep 2021 — ECOA BAS controller suffers from a path traversal vulnerability, causing arbitrary files deletion. Using the specific GET parameter, unauthenticated attackers can remotely delete arbitrary files on the affected device and cause denial of service scenario. El controlador ECOA BAS sufre una vulnerabilidad de salto de ruta, causando el borrado arbitrario de archivos. usando el parámetro GET específico, unos atacantes no autenticados pueden eliminar remotamente archivos arbitrarios en el dispositivo afectado y ... • https://www.twcert.org.tw/tw/cp-132-5130-7de92-1.html • CWE-22: Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') •
CVSS: 7.5EPSS: 5%CPEs: 5EXPL: 0CVE-2021-41293 – ECOA BAS controller - Path Traversal-3
https://notcve.org/view.php?id=CVE-2021-41293
30 Sep 2021 — ECOA BAS controller suffers from a path traversal vulnerability, causing arbitrary files disclosure. Using the specific POST parameter, unauthenticated attackers can remotely disclose arbitrary files on the affected device and disclose sensitive and system information. El controlador ECOA BAS sufre una vulnerabilidad de salto de ruta, causando la divulgación de archivos arbitrarios. usando el parámetro POST específico, unos atacantes no autenticados pueden divulgar remotamente archivos arbitrarios en el dis... • https://www.twcert.org.tw/tw/cp-132-5129-7e623-1.html • CWE-22: Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') •