CVE-2021-27506
https://notcve.org/view.php?id=CVE-2021-27506
The ClamAV Engine (version 0.103.1 and below) component embedded in Storsmshield Network Security (SNS) is subject to DoS in case of parsing of malformed png files. This affect Netasq versions 9.1.0 to 9.1.11 and SNS versions 1.0.0 to 4.2.0. This issue is fixed in SNS 3.7.19, 3.11.7 and 4.2.1. El componente ClamAV Engine (versión 0.103.1 e inferior) incrustado en Storsmshield Network Security (SNS) está sujeto a DoS en caso de analizar archivos png malformados. Esto afecta a las versiones 9.1.0 a 9.1.11 de Netasq y a las versiones 1.0.0 a 4.2.0 de SNS. • https://advisories.stormshield.eu/2021-003 https://blog.clamav.net/2021/02/clamav-01031-patch-release.html •
CVE-2021-3384
https://notcve.org/view.php?id=CVE-2021-3384
A vulnerability in Stormshield Network Security could allow an attacker to trigger a protection related to ARP/NDP tables management, which would temporarily prevent the system to contact new hosts via IPv4 or IPv6. This affects versions 2.0.0 to 2.7.7, 2.8.0 to 2.16.0, 3.0.0 to 3.7.16, 3.8.0 to 3.11.4, and 4.0.0 to 4.1.5. Fixed in versions 2.7.8, 3.7.17, 3.11.5, and 4.2.0. Una vulnerabilidad en Stormshield Network Security, podría permitir a un atacante desencadenar una protección relacionada a una administración de tablas ARP/NDP, lo que impediría temporalmente al sistema comunicarse con nuevos hosts por medio de IPv4 o IPv6. Esto afecta a versiones 2.0.0 hasta 2.7.7, versiones 2.8.0 hasta 2.16.0, versiones 3.0.0 hasta 3.7.16, versiones 3.8.0 hasta 3.11.4 y versiones 4.0.0 hasta 4.1.5. • https://advisories.stormshield.eu/2020-049 •
CVE-2020-7466
https://notcve.org/view.php?id=CVE-2020-7466
The PPP implementation of MPD before 5.9 allows a remote attacker who can send specifically crafted PPP authentication message to cause the daemon to read beyond allocated memory buffer, which would result in a denial of service condition. La implementación PPP de MPD versiones anteriores a 5.9, permite a un atacante remoto que puede enviar un mensaje de autenticación PPP específicamente diseñado causar que el demonio lea más allá del búfer de memoria asignado, lo que resultaría en una condición de denegación de servicio • https://sourceforge.net/p/mpd/bugs/69 https://sourceforge.net/p/mpd/svn/2374 • CWE-125: Out-of-bounds Read •
CVE-2020-7465
https://notcve.org/view.php?id=CVE-2020-7465
The L2TP implementation of MPD before 5.9 allows a remote attacker who can send specifically crafted L2TP control packet with AVP Q.931 Cause Code to execute arbitrary code or cause a denial of service (memory corruption). La implementación L2TP de MPD versiones anteriores a 5.9, permite a un atacante remoto que puede enviar un paquete de control L2TP específicamente diseñado con AVP versión Q.931 Causar Code para ejecutar código arbitrario o causar una denegación de servicio (corrupción de la memoria) • https://sourceforge.net/p/mpd/bugs/70 https://sourceforge.net/p/mpd/svn/2377 • CWE-787: Out-of-bounds Write •
CVE-2020-8430
https://notcve.org/view.php?id=CVE-2020-8430
Stormshield Network Security 310 3.7.10 devices have an auth/lang.html?rurl= Open Redirect vulnerability on the captive portal. For example, the attacker can use rurl=//example.com instead of rurl=https://example.com in the query string. Los dispositivos Stormshield Network Security versión 310 3.7.10, presentan una vulnerabilidad de Redireccionamiento Abierto de auth/lang.html?rurl= en el portal cautivo. • https://advisories.stormshield.eu/2020-001 https://www.digitemis.com/2020/02/24/digitemis-decouvre-une-vulnerabilite-au-sein-dun-produit-stormshield-cve-2020-8430 https://www.digitemis.com/category/blog/actualite https://www.stormshield.com/products/sn310 • CWE-601: URL Redirection to Untrusted Site ('Open Redirect') •