CVSS: 9.8EPSS: 0%CPEs: 42EXPL: 0CVE-2018-9079 – Iomega and LenovoEMC NAS Web UI Vulnerabilities
https://notcve.org/view.php?id=CVE-2018-9079
For some Iomega, Lenovo, LenovoEMC NAS devices versions 4.1.402.34662 and earlier, adversaries can craft URLs to modify the Document Object Model (DOM) of the page. In addition, adversaries can inject HTML script tags and HTML tags with JavaScript handlers to execute arbitrary JavaScript with the origin of the device. Para algunos dispositivos NAS Iomega, Lenovo y LenovoEMC en versiones 4.1.402.34662 y anteriores, los adversarios pueden manipular URL para modificar el DOM (Document Object Model) de la página. Además, los adversarios pueden inyectar etiquetas de scripts HTML y etiquetas HTML con manejadores JavaScript para ejecutar JavaScript arbitrario con el origen del dispositivo. • https://support.lenovo.com/us/en/solutions/LEN-24224 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 4.7EPSS: 0%CPEs: 42EXPL: 0CVE-2018-9081 – Iomega and LenovoEMC NAS Web UI Vulnerabilities
https://notcve.org/view.php?id=CVE-2018-9081
For some Iomega, Lenovo, LenovoEMC NAS devices versions 4.1.402.34662 and earlier, the file name used for assets accessible through the Content Viewer application are vulnerable to self cross-site scripting self-XSS. As a result, adversaries can add files to shares accessible from the Content Viewer with a cross site scripting payload in its name, and wait for a user to try and rename the file for their payload to trigger. Para algunos dispositivos NAS Iomega, Lenovo y LenovoEMC en versiones 4.1.402.34662 y anteriores, el nombre de archivo empleado para los activos accesibles mediante la aplicación Content Viewer son vulnerables a un ataque self-Cross-Site Scripting (self-XSS). Como resultado, los adversarios pueden añadir archivos a los almacenes accesibles desde Content Viewer con una carga útil de Cross-Site Scripting (XSS) en su nombre y esperar a que un usuario intente renombrar el archivo para que se desencadene su carga útil. • https://support.lenovo.com/us/en/solutions/LEN-24224 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 8.8EPSS: 0%CPEs: 42EXPL: 0CVE-2018-9082 – Iomega and LenovoEMC NAS Web UI Vulnerabilities
https://notcve.org/view.php?id=CVE-2018-9082
For some Iomega, Lenovo, LenovoEMC NAS devices versions 4.1.402.34662 and earlier, the password changing functionality available to authenticated users does not require the user's current password to set a new one. As a result, attackers with access to the user's session tokens can change their password and retain access to the user's account Para algunos dispositivos NAS Iomega, Lenovo y LenovoEMC en versiones 4.1.402.34662 y anteriores, la funcionalidad de cambio de contraseñas disponible para los usuarios autenticados no requiere la contraseña actual del usuario para establecer una nueva. Como resultado, los atacantes con acceso a los tokens de sesión del usuario pueden cambiar su contraseña y mantener el acceso a la cuenta del usuario. • https://support.lenovo.com/us/en/solutions/LEN-24224 • CWE-384: Session Fixation •
CVSS: 5.9EPSS: 0%CPEs: 42EXPL: 0CVE-2018-9080 – Iomega and LenovoEMC NAS Web UI Vulnerabilities
https://notcve.org/view.php?id=CVE-2018-9080
For some Iomega, Lenovo, LenovoEMC NAS devices versions 4.1.402.34662 and earlier, by setting the Iomega cookie to a known value before logging into the NAS's web application, the NAS will not provide the user a new cookie value. This allows an attacker who knows the cookie's value to compromise the user's session. Para algunos dispositivos NAS Iomega, Lenovo y LenovoEMC en versiones 4.1.402.34662 y anteriores, al establecer la cookie Iomega a un valor conocido antes de iniciar sesión en la aplicación web de NAS, ésta no proporcionará al usuario un nuevo valor de cookie. Esto permite que un atacante que conozca el valor de la cookie comprometa la sesión del usuario. • https://support.lenovo.com/us/en/solutions/LEN-24224 • CWE-287: Improper Authentication •
CVSS: 8.8EPSS: 0%CPEs: 42EXPL: 0CVE-2018-9078 – Iomega and LenovoEMC NAS Web UI Vulnerabilities
https://notcve.org/view.php?id=CVE-2018-9078
For some Iomega, Lenovo, LenovoEMC NAS devices versions 4.1.402.34662 and earlier, the Content Explorer application grants users the ability to upload files to shares and this image was rendered in the browser in the device's origin instead of prompting to download the asset. The application does not prevent the user from uploading SVG images and returns these images within their origin. As a result, malicious users can upload SVG images that contain arbitrary JavaScript that is evaluated when the victim issues a request to download the file. Para algunos dispositivos NAS Iomega, Lenovo y LenovoEMC en versiones 4.1.402.34662 y anteriores, la aplicación Content Explorer otorga a los usuarios la capacidad de subir archivos a almacenes y esta imagen fue renderizada en el navegador en el origen del dispositivo en lugar de solicitar descargar el activo. La aplicación no evita que el usuario suba imágenes SVG y las devuelve a su origen. • https://support.lenovo.com/us/en/solutions/LEN-24224 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •