CVSS: 6.1EPSS: 0%CPEs: 4EXPL: 0CVE-2019-19758
https://notcve.org/view.php?id=CVE-2019-19758
A vulnerability in the web interface of Lenovo EZ Media & Backup Center, ix2 & ix2-dl version 4.1.406.34763 and prior could allow an unauthenticated, remote attacker to redirect a user to an untrusted web page. Una vulnerabilidad en la interfaz web de Lenovo EZ Media & Backup Center, ix2 & ix2-dl versiones 4.1.406.34763 y anteriores, lo que podría permitir a un atacante no autenticado remoto redireccionar a un usuario hacia una página web no confiable. • https://support.lenovo.com/us/en/product_security/LEN-30242 • CWE-601: URL Redirection to Untrusted Site ('Open Redirect') •
CVSS: 9.8EPSS: 0%CPEs: 42EXPL: 0CVE-2018-9079 – Iomega and LenovoEMC NAS Web UI Vulnerabilities
https://notcve.org/view.php?id=CVE-2018-9079
For some Iomega, Lenovo, LenovoEMC NAS devices versions 4.1.402.34662 and earlier, adversaries can craft URLs to modify the Document Object Model (DOM) of the page. In addition, adversaries can inject HTML script tags and HTML tags with JavaScript handlers to execute arbitrary JavaScript with the origin of the device. Para algunos dispositivos NAS Iomega, Lenovo y LenovoEMC en versiones 4.1.402.34662 y anteriores, los adversarios pueden manipular URL para modificar el DOM (Document Object Model) de la página. Además, los adversarios pueden inyectar etiquetas de scripts HTML y etiquetas HTML con manejadores JavaScript para ejecutar JavaScript arbitrario con el origen del dispositivo. • https://support.lenovo.com/us/en/solutions/LEN-24224 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 9.3EPSS: 0%CPEs: 22EXPL: 0CVE-2018-9077 – Iomega and LenovoEMC NAS Web UI Vulnerabilities
https://notcve.org/view.php?id=CVE-2018-9077
For some Iomega, Lenovo, LenovoEMC NAS devices versions 4.1.402.34662 and earlier, when changing the name of a share, an attacker can craft a command injection payload using backtick "``" characters in the share : name parameter. As a result, arbitrary commands may be executed as the root user. The attack requires a value __c and iomega parameter. Para algunos dispositivos NAS Iomega, Lenovo y LenovoEMC en versiones 4.1.402.34662 y anteriores, al cambiar el nombre de una compartición, un atacante puede manipular una carga útil de inyección de comandos unirse a una instalación PersonalCloud, un atacante puede manipular una carga útil de inyección de comandos utilizando caracteres de comilla hacia atrás "``" en el parámetro share : name. Como resultado, podrían ejecutarse comandos arbitrarios como el usuario root. • https://support.lenovo.com/us/en/solutions/LEN-24224 • CWE-78: Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection') •
CVSS: 6.8EPSS: 0%CPEs: 22EXPL: 0CVE-2018-9074 – Iomega and LenovoEMC NAS Web UI Vulnerabilities
https://notcve.org/view.php?id=CVE-2018-9074
For some Iomega, Lenovo, LenovoEMC NAS devices versions 4.1.402.34662 and earlier, the file upload functionality of the Content Explorer application is vulnerable to path traversal. As a result, users can upload files anywhere on the device's operating system as the root user. Para algunos dispositivos NAS Iomega, Lenovo y LenovoEMC en versiones 4.1.402.34662 y anteriores, la funcionalidad de subida de archivos de la aplicación Content Explorer es vulnerable a salto de directorio. Como resultado, los usuarios pueden subir archivos en cualquier parte del sistema operativo del dispositivo como usuario root. • https://support.lenovo.com/us/en/solutions/LEN-24224 • CWE-22: Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') •
CVSS: 4.7EPSS: 0%CPEs: 42EXPL: 0CVE-2018-9081 – Iomega and LenovoEMC NAS Web UI Vulnerabilities
https://notcve.org/view.php?id=CVE-2018-9081
For some Iomega, Lenovo, LenovoEMC NAS devices versions 4.1.402.34662 and earlier, the file name used for assets accessible through the Content Viewer application are vulnerable to self cross-site scripting self-XSS. As a result, adversaries can add files to shares accessible from the Content Viewer with a cross site scripting payload in its name, and wait for a user to try and rename the file for their payload to trigger. Para algunos dispositivos NAS Iomega, Lenovo y LenovoEMC en versiones 4.1.402.34662 y anteriores, el nombre de archivo empleado para los activos accesibles mediante la aplicación Content Viewer son vulnerables a un ataque self-Cross-Site Scripting (self-XSS). Como resultado, los adversarios pueden añadir archivos a los almacenes accesibles desde Content Viewer con una carga útil de Cross-Site Scripting (XSS) en su nombre y esperar a que un usuario intente renombrar el archivo para que se desencadene su carga útil. • https://support.lenovo.com/us/en/solutions/LEN-24224 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •