8 results (0.044 seconds)

CVSS: 9.3EPSS: 0%CPEs: 1EXPL: 0

A CWE-502: Deserialization of Untrusted Data vulnerability exists which could allow an attacker to execute arbitrary code on the targeted system with SYSTEM privileges when placing a malicious user to be authenticated for this vulnerability to be successfully exploited. Affected Product: Schneider Electric Software Update (SESU) SUT Service component (V2.1.1 to V2.3.0) Una CWE-502: Se presenta una vulnerabilidad de Deserialización de Datos no Confiables que podría permitir a un atacante ejecutar código arbitrario en el sistema objetivo con privilegios SYSTEM cuando es colocado un usuario malicioso para ser autenticado para que esta vulnerabilidad sea explotada con éxito. Producto afectado: Componente de servicio SUT de Schneider Electric Software Update (SESU) (versiones V2.1.1 a V2.3.0) • https://www.se.com/ww/en/download/document/SEVD-2019-225-06 • CWE-502: Deserialization of Untrusted Data •

CVSS: 3.8EPSS: 0%CPEs: 1EXPL: 0

A CWE-331: Insufficient Entropy vulnerability exists that could cause unintended connection from an internal network to an external network when an attacker manages to decrypt the SESU proxy password from the registry. Affected Product: Schneider Electric Software Update, V2.3.0 through V2.5.1 Una CWE-331: Se presenta una vulnerabilidad de Entropía Insuficiente que podría causar una conexión no intencionada desde una red interna a una red externa cuando un atacante consigue descifrar la contraseña del proxy SESU desde el registro. Producto afectado: Schneider Electric Software Update, V2.3.0 hasta V2.5.1 • https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2021-313-02 • CWE-331: Insufficient Entropy •

CVSS: 5.9EPSS: 0%CPEs: 1EXPL: 0

Apple Software Update before 2.2 on Windows does not use HTTPS, which makes it easier for man-in-the-middle attackers to spoof updates by modifying the client-server data stream. Apple Software Update en versiones anteriores a 2.2 en Windows no utiliza HTTPS, lo que facilita a atacantes man-in-the-middle suplantar actualizaciones modificando el flujo de datos cliente-servidor. • http://www.securityfocus.com/bid/84283 http://www.securitytracker.com/id/1035256 https://support.apple.com/kb/HT206091 • CWE-310: Cryptographic Issues CWE-345: Insufficient Verification of Data Authenticity •

CVSS: 4.6EPSS: 0%CPEs: 1EXPL: 0

Unspecified vulnerability in HP Software Update before 5.005.002.002 allows local users to gain privileges via unknown vectors. Vulnerabilidad no especificada en HP Software Update en versiones anteriores a 5.005.002.002, permite a usuarios locales obtener privilegios a través de vectores desconocidos. • http://h20564.www2.hpe.com/hpsc/doc/public/display?docId=emr_na-c04801217 http://www.securitytracker.com/id/1033616 •

CVSS: 6.8EPSS: 86%CPEs: 1EXPL: 1

Hpufunction.dll 4.0.0.1 in HP Software Update exposes the unsafe (1) ExecuteAsync and (2) Execute methods, which allows remote attackers to execute arbitrary code via an absolute pathname in the first argument. Hpufunction.dll 4.0.0.1 de HP Software Update expone los métodos inseguros (1) ExecuteAsync y (2)Execute, lo cual permite a atacantes remotos ejecutar código arbitrariam0<1.2 ente a través de un nombre de ruta absoluto en el primer argumeto. • https://www.exploit-db.com/exploits/5511 https://exchange.xforce.ibmcloud.com/vulnerabilities/42249 • CWE-94: Improper Control of Generation of Code ('Code Injection') •