CVE-2020-6970
https://notcve.org/view.php?id=CVE-2020-6970
A Heap-based Buffer Overflow was found in Emerson OpenEnterprise SCADA Server 2.83 (if Modbus or ROC Interfaces have been installed and are in use) and all versions of OpenEnterprise 3.1 through 3.3.3, where a specially crafted script could execute code on the OpenEnterprise Server. Se encontró un desbordamiento de búfer en la región heap de la memoria en Emerson OpenEnterprise SCADA Server versión 2.83 (si las Interfaces Modbus o ROC se han instalado y están en uso) y todas las versiones de OpenEnterprise 3.1 hasta 3.3.3, donde un script especialmente diseñado podría ejecutar código en el OpenEnterprise Server. • https://www.us-cert.gov/ics/advisories/icsa-20-049-02 • CWE-122: Heap-based Buffer Overflow CWE-787: Out-of-bounds Write •
CVE-2019-13524
https://notcve.org/view.php?id=CVE-2019-13524
GE PACSystems RX3i CPE100/115: All versions prior to R9.85,CPE302/305/310/330/400/410: All versions prior to R9.90,CRU/320 All versions(End of Life) may allow an attacker sending specially manipulated packets to cause the module state to change to halt-mode, resulting in a denial-of-service condition. An operator must reboot the CPU module after removing battery or energy pack to recover from halt-mode. GE PACSystems versión RX3i CPE100/115: todas las versiones anteriores a R9.85,CPE302/305/310/330/400/410: todas las versiones anteriores a R9.90,CRU/320, todas las versiones (End of Life), pueden permitir a un atacante enviar paquetes especialmente manipulados para causar que el estado del módulo cambie al modo halt, resultando en una condición de denegación de servicio. Un operador necesita reiniciar el módulo de la CPU después de quitar la batería o el paquete de energía para recuperase del modo halt. • https://www.us-cert.gov/ics/advisories/icsa-20-014-01 • CWE-20: Improper Input Validation •
CVE-2019-10967
https://notcve.org/view.php?id=CVE-2019-10967
In Emerson Ovation OCR400 Controller 3.3.1 and earlier, a stack-based buffer overflow vulnerability in the embedded third-party FTP server involves improper handling of a long file name from the LIST command to the FTP service, which may cause the service to overwrite buffers, leading to remote code execution and escalation of privileges. En el Controlador Emerson Ovation OCR400 versión 3.3.1 y anteriores, una vulnerabilidad de desbordamiento del búfer en pila de la memoria del servidor FTP de terceros integrado implica un manejo inapropiado de un nombre de archivo largo desde el comando LIST al servicio FTP, que puede generar que el servicio sobrescriba buffers, lo que conlleva a la ejecución de código remota y la escalada de privilegios. • http://www.securityfocus.com/bid/108499 https://ics-cert.us-cert.gov/advisories/ICSA-19-148-01 • CWE-121: Stack-based Buffer Overflow CWE-787: Out-of-bounds Write •
CVE-2019-10965
https://notcve.org/view.php?id=CVE-2019-10965
In Emerson Ovation OCR400 Controller 3.3.1 and earlier, a heap-based buffer overflow vulnerability in the embedded third-party FTP server involves improper handling of a long command to the FTP service, which may cause memory corruption that halts the controller or leads to remote code execution and escalation of privileges. En el Controlador Emerson Ovation OCR400 versión 3.3.1 y anteriores, una vulnerabilidad de desbordamiento del búfer en memória dinámica (heap) de la memoria del servidor FTP incorporado de terceros implica el manejo inadecuado de un comando largo al servicio FTP, lo que puede generar daños en la memoria que paraliza el controlador o provoca la ejecución de código remota y escalada de privilegios. • http://www.securityfocus.com/bid/108499 https://ics-cert.us-cert.gov/advisories/ICSA-19-148-01 • CWE-787: Out-of-bounds Write •
CVE-2019-12167 – Emerson Network Power Liebert Challenger 5.1E0.5 Cross Site Scripting
https://notcve.org/view.php?id=CVE-2019-12167
httpGetSet/httpGet.htm on Emerson Network Power Liebert Challenger 5.1E0.5 devices allows XSS via the statusstr parameter. httpGetSet / httpGet.htm en Emerson Network Power los dispositivos Liebert Challenger 5.1E0.5 permiten XSS mediante el parámetro statusstr. Emerson Network Power Liebert Challenger version 5.1E0.5 suffers from a cross site scripting vulnerability. • http://www.securityfocus.com/bid/108420 https://seclists.org/bugtraq/2019/May/51 https://www.emerson.com/en-us/support • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •