CVE-2018-15721
https://notcve.org/view.php?id=CVE-2018-15721
The XMPP server in Logitech Harmony Hub before version 4.15.206 is vulnerable to authentication bypass via a crafted XMPP request. Remote attackers can use this vulnerability to gain access to the local API. El servidor XMPP en Logitech Harmony Hub, en versiones anteriores a la 4.15.206, es vulnerable a una omisión de autenticación mediante una petición XMPP manipulada. Los atacantes remotos podrían explotar esta vulnerabilidad para obtener acceso a la API local. • https://www.tenable.com/security/research/tra-2018-47 • CWE-287: Improper Authentication •
CVE-2018-15723
https://notcve.org/view.php?id=CVE-2018-15723
The Logitech Harmony Hub before version 4.15.206 is vulnerable to application level command injection via crafted HTTP request. An unauthenticated remote attacker can leverage this vulnerability to execute application defined commands (e.g. harmony.system?systeminfo). Logitech Harmony Hub, en versiones anteriores a la 4.15.206, es vulnerable a una inyección de comandos a nivel de aplicación mediante una petición HTTP manipulada. Un atacante remoto no autenticado puede aprovechar esta vulnerabilidad para ejecutar comandos definidos por la aplicación (por ejemplo, harmony.system? • https://www.tenable.com/security/research/tra-2018-47 • CWE-346: Origin Validation Error •
CVE-2018-15720
https://notcve.org/view.php?id=CVE-2018-15720
Logitech Harmony Hub before version 4.15.206 contained two hard-coded accounts in the XMPP server that gave remote users access to the local API. Logitech Harmony Hub, en versiones anteriores a la 4.15.206, contenía dos cuentas embebidas en el servidor XMPP que otorgaba a los usuarios remotos acceso a la API local. • https://www.tenable.com/security/research/tra-2018-47 • CWE-798: Use of Hard-coded Credentials •
CVE-2018-15722
https://notcve.org/view.php?id=CVE-2018-15722
The Logitech Harmony Hub before version 4.15.206 is vulnerable to OS command injection via the time update request. A remote server or man in the middle can inject OS commands with a properly formatted response. Logitech Harmony Hub, en versiones anteriores a la 4.15.206, es vulnerable a una inyección de comandos del sistema operativo mediante la petición de actualización de tiempo. Un servidor remoto o Man-in-the-Middle (MitM) puede inyectar comandos del sistema operativo con una respuesta correctamente formateada. • https://www.tenable.com/security/research/tra-2018-47 • CWE-78: Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection') •