CVE-2017-13994
https://notcve.org/view.php?id=CVE-2017-13994
A Cross-site Scripting issue was discovered in LOYTEC LVIS-3ME versions prior to 6.2.0. The web interface lacks proper web request validation, which could allow XSS attacks to occur if an authenticated user of the web interface is tricked into clicking a malicious link. Se ha descubierto una vulnerabilidad de Cross-Site Scripting en las versiones anteriores a 6.2.0 de LOYTEC LVIS-3ME. La interfaz web carece de un esquema de validación de peticiones web correcto, lo que puede permitir que se produzcan ataques de Cross-Site Scripting (XSS) si se engaña a un usuario autenticado de la interfaz web para que acceda a un enlace malicioso. • http://www.securityfocus.com/bid/100847 https://ics-cert.us-cert.gov/advisories/ICSA-17-257-01 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVE-2017-13998
https://notcve.org/view.php?id=CVE-2017-13998
An Insufficiently Protected Credentials issue was discovered in LOYTEC LVIS-3ME versions prior to 6.2.0. The application does not sufficiently protect sensitive information from unauthorized access. Se descubrió un problema de protección insuficiente de credenciales en las versiones anteriores a la 6.2.0 de LOYTEC LVIS-3ME. La aplicación no ofrece una protección suficiente para la información sensible contra accesos no autorizados. • http://www.securityfocus.com/bid/100847 https://ics-cert.us-cert.gov/advisories/ICSA-17-257-01 • CWE-522: Insufficiently Protected Credentials •
CVE-2017-13992
https://notcve.org/view.php?id=CVE-2017-13992
An Insufficient Entropy issue was discovered in LOYTEC LVIS-3ME versions prior to 6.2.0. The application does not utilize sufficiently random number generation for the web interface authentication mechanism, which could allow remote code execution. Existe una vulnerabilidad relacionada con una entropía insuficiente en las versiones anteriores a 6.2.0 de LOYTEC LVIS-3ME. La aplicación no genera números lo suficientemente aleatorios para el mecanismo de autenticación de la interfaz web, lo que puede permitir que se ejecute código de manera remota. • http://www.securityfocus.com/bid/100847 https://ics-cert.us-cert.gov/advisories/ICSA-17-257-01 • CWE-331: Insufficient Entropy •
CVE-2017-13996
https://notcve.org/view.php?id=CVE-2017-13996
A Relative Path Traversal issue was discovered in LOYTEC LVIS-3ME versions prior to 6.2.0. The web user interface fails to prevent access to critical files that non administrative users should not have access to, which could allow an attacker to create or modify files or execute arbitrary code. Se ha descubierto un problema de salto de directorio relativo en las versiones anteriores a 6.2.0 de LOYTEC LVIS-3ME La interfaz de usuario web no consigue bloquear el acceso a archivos críticos que los usuarios administrativos no deberían tener acceso, lo que puede permitir que un atacante cree o modifique archivos o ejecute código arbitrario. • http://www.securityfocus.com/bid/100847 https://ics-cert.us-cert.gov/advisories/ICSA-17-257-01 • CWE-22: Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') CWE-23: Relative Path Traversal •