CVE-2024-3498 – Incorrect Permission Assignment Privilege Escalation Vulnerability
https://notcve.org/view.php?id=CVE-2024-3498
Attackers can then execute malicious files by enabling certain services of the printer via the web configuration page and elevate its privileges to root. As for the affected products/models/versions, see the reference URL. Luego, los atacantes pueden ejecutar archivos maliciosos habilitando ciertos servicios de la impresora a través de la página de configuración web y elevando sus privilegios a root. En cuanto a los productos/modelos/versiones afectados, consulte la URL de referencia. This vulnerability allows local attackers to execute arbitrary code on affected installations of Toshiba e-STUDIO2518A printers. • https://jvn.jp/en/vu/JVNVU97136265/index.html https://www.toshibatec.com/information/20240531_01.html https://www.toshibatec.com/information/pdf/information20240531_01.pdf • CWE-250: Execution with Unnecessary Privileges •
CVE-2024-3497 – Directory Traversal Remote Code Execution Vulnerability
https://notcve.org/view.php?id=CVE-2024-3497
Path traversal vulnerability in the web server of the Toshiba printer enables attacker to overwrite orginal files or add new ones to the printer. As for the affected products/models/versions, see the reference URL. Una vulnerabilidad de path traversal en el servidor web de la impresora Toshiba permite a un atacante sobrescribir archivos originales o agregar otros nuevos a la impresora. En cuanto a los productos/modelos/versiones afectados, consulte la URL de referencia. This vulnerability allows network-adjacent attackers to execute arbitrary code on affected installations of Toshiba e-STUDIO2518A printers. • https://jvn.jp/en/vu/JVNVU97136265/index.html https://www.toshibatec.com/information/20240531_01.html https://www.toshibatec.com/information/pdf/information20240531_01.pdf • CWE-23: Relative Path Traversal •
CVE-2024-3496 – Authentication Bypass Vulnerability
https://notcve.org/view.php?id=CVE-2024-3496
Attackers can bypass the web login authentication process to gain access to the printer's system information and upload malicious drivers to the printer. As for the affected products/models/versions, see the reference URL. Los atacantes pueden eludir el proceso de autenticación de inicio de sesión web para obtener acceso a la información del sistema de la impresora y cargar controladores maliciosos en la impresora. En cuanto a los productos/modelos/versiones afectados, consulte la URL de referencia. This vulnerability allows network-adjacent attackers to bypass authentication on affected installations of Toshiba e-STUDIO2518A printers. • https://jvn.jp/en/vu/JVNVU97136265/index.html https://www.toshibatec.com/information/20240531_01.html https://www.toshibatec.com/information/pdf/information20240531_01.pdf • CWE-288: Authentication Bypass Using an Alternate Path or Channel •
CVE-2024-27180 – TOCTOU vulnerability
https://notcve.org/view.php?id=CVE-2024-27180
An attacker with admin access can install rogue applications. As for the affected products/models/versions, see the reference URL. Un atacante con acceso de administrador puede instalar aplicaciones no autorizadas. En cuanto a los productos/modelos/versiones afectados, consulte la URL de referencia. • http://seclists.org/fulldisclosure/2024/Jul/1 https://jvn.jp/en/vu/JVNVU97136265/index.html https://www.toshibatec.com/information/20240531_01.html https://www.toshibatec.com/information/pdf/information20240531_01.pdf • CWE-276: Incorrect Default Permissions •
CVE-2024-27179 – Session disclosure inside the log files
https://notcve.org/view.php?id=CVE-2024-27179
Admin cookies are written in clear-text in logs. An attacker can retrieve them and bypass the authentication mechanism. As for the affected products/models/versions, see the reference URL. Las cookies de administración se escriben en texto plano en los registros. Un atacante puede recuperarlos y eludir el mecanismo de autenticación. • http://seclists.org/fulldisclosure/2024/Jul/1 https://jvn.jp/en/vu/JVNVU97136265/index.html https://www.toshibatec.com/information/20240531_01.html https://www.toshibatec.com/information/pdf/information20240531_01.pdf • CWE-1295: Debug Messages Revealing Unnecessary Information •