CVSS: 8.8EPSS: 0%CPEs: 1EXPL: 0CVE-2016-0906
https://notcve.org/view.php?id=CVE-2016-0906
The web-restore interface in Avamar Data Store (ADS) and Avamar Virtual Edition (AVE) in EMC Avamar through 7.1.2 and 7.2.x through 7.2.1 allows remote authenticated users to read or delete directories via a Linux backup-restore operation. La interfaz web de restauración en Avamar Data Store (ADS) y Avamar Virtual Edition (AVE) en EMC Avamar hasta la versión 7.1.2 y 7.2.x hasta la versión 7.2.1 permite a usuarios remotos autenticados leer o borrar directorios a través de una operación de restauración de copia de seguridad en Linux. • http://seclists.org/bugtraq/2016/Jul/33 http://www.securitytracker.com/id/1036235 • CWE-284: Improper Access Control •
CVSS: 4.3EPSS: 0%CPEs: 7EXPL: 0CVE-2014-4623
https://notcve.org/view.php?id=CVE-2014-4623
EMC Avamar 6.0.x, 6.1.x, and 7.0.x in Avamar Data Store (ADS) GEN4(S) and Avamar Virtual Edition (AVE), when Password Hardening before 2.0.0.4 is enabled, uses UNIX DES crypt for password hashing, which makes it easier for context-dependent attackers to obtain cleartext passwords via a brute-force attack. EMC Avamar 6.0.x, 6.1.x, y 7.0.x en Avamar Data Store (ADS) GEN4(S) y Avamar Virtual Edition (AVE), cuando Password Hardening anterior a 2.0.0.4 está habilitado, utiliza el cifrado UNIX DES para crear hashes de contraseñas, lo que facilita a atacantes dependientes de contexto obtener contraseñas en texto plano a través de un ataque de fuerza bruta. • http://archives.neohapsis.com/archives/bugtraq/2014-10/0146.html http://packetstormsecurity.com/files/128842/EMC-Avamar-Weak-Password-Storage.html http://www.securityfocus.com/bid/70732 http://www.securitytracker.com/id/1031117 https://exchange.xforce.ibmcloud.com/vulnerabilities/97757 • CWE-310: Cryptographic Issues •
CVSS: 9.3EPSS: 0%CPEs: 9EXPL: 0CVE-2013-0945
https://notcve.org/view.php?id=CVE-2013-0945
EMC Avamar Client before 6.1.101-89 does not verify that the server hostname matches a domain name in the subject's Common Name (CN) or subjectAltName field of the X.509 certificate, which allows man-in-the-middle attackers to spoof SSL servers via an arbitrary valid certificate. EMC Avamar Client anterior a v6.1.101-89 no verifica que el nombre del servidor coincide con un nombre de dominio en el nombre común del sujeto (CN) o el campo subjectAltName del certificado X.509, permitiendo a los atacantes de hombre-en-medio (man-in-the-middle) falsificar servidores SSL mediante un certificado válido de su elección. • http://archives.neohapsis.com/archives/bugtraq/2013-05/0014.html • CWE-20: Improper Input Validation •