CVSS: 5.5EPSS: 0%CPEs: 1EXPL: 1CVE-2020-5721
https://notcve.org/view.php?id=CVE-2020-5721
MikroTik WinBox 3.22 and below stores the user's cleartext password in the settings.cfg.viw configuration file when the Keep Password field is set and no Master Password is set. Keep Password is set by default and, by default Master Password is not set. An attacker with access to the configuration file can extract a username and password to gain access to the router. MikroTik WinBox versiones 3.22 y por debajo, almacenan la contraseña de texto sin cifrar del usuario en el archivo de configuración settings.cfg.viw cuando se establece el campo Keep Password y Master Password no se establece. Keep Password se establece por defecto y, Master Password por defecto no se establece. • https://www.tenable.com/security/research/tra-2020-23 • CWE-260: Password in Configuration File CWE-522: Insufficiently Protected Credentials •
CVSS: 5.9EPSS: 0%CPEs: 1EXPL: 1CVE-2020-5720
https://notcve.org/view.php?id=CVE-2020-5720
MikroTik WinBox before 3.21 is vulnerable to a path traversal vulnerability that allows creation of arbitrary files wherevere WinBox has write permissions. WinBox is vulnerable to this attack if it connects to a malicious endpoint or if an attacker mounts a man in the middle attack. MikroTik WinBox versiones anteriores a 3.21, es vulnerable a una vulnerabilidad de salto de ruta que permite la creación de archivos arbitrarios donde WinBox tiene permisos de escritura. WinBox es vulnerable a este ataque si se conecta a un endpoint malicioso o si un atacante monta un ataque de tipo man in the middle. • https://www.tenable.com/security/research/tra-2020-07 • CWE-22: Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') •
CVSS: 4.3EPSS: 0%CPEs: 2EXPL: 1CVE-2019-3981
https://notcve.org/view.php?id=CVE-2019-3981
MikroTik Winbox 3.20 and below is vulnerable to man in the middle attacks. A man in the middle can downgrade the client's authentication protocol and recover the user's username and MD5 hashed password. MikroTik Winbox versión 3.20 y por debajo, es vulnerable a ataque de tipo man in the middle. Un ataque de tipo man in the middle puede degradar el protocolo de autenticación del cliente y recuperar el nombre de usuario y el contraseña con hash MD5. • https://www.tenable.com/security/research/tra-2020-01 • CWE-300: Channel Accessible by Non-Endpoint •