CVE-2021-3254
https://notcve.org/view.php?id=CVE-2021-3254
Asus DSL-N14U-B1 1.1.2.3_805 allows remote attackers to cause a Denial of Service (DoS) via a TCP SYN scan using nmap. Asus DSL-N14U-B1 versión 1.1.2.3_805, permite a atacantes remotos causar una Denegación de Servicio (DoS) por medio de un escaneo TCP SYN usando nmap • https://github.com/kaisersource/kaisersource.github.io/blob/main/_posts/2021-01-22-dsl-n14u.md https://kaisersource.github.io/dsl-n14u-syn •
CVE-2022-26674 – ASUS RT-AX88U - Format String
https://notcve.org/view.php?id=CVE-2022-26674
ASUS RT-AX88U has a Format String vulnerability, which allows an unauthenticated remote attacker to write to arbitrary memory address and perform remote arbitrary code execution, arbitrary system operation or disrupt service. ASUS RT-AX88U presenta una vulnerabilidad de cadena de formato, que permite a un atacante remoto no autenticado escribir en una dirección de memoria arbitraria y llevar a cabo una ejecución de código arbitrario remoto, la operación arbitraria del sistema o la interrupción del servicio • https://www.twcert.org.tw/tw/cp-132-6043-0f72c-1.html • CWE-134: Use of Externally-Controlled Format String •
CVE-2022-26673 – ASUS RT-AX88U - Stored XSS
https://notcve.org/view.php?id=CVE-2022-26673
ASUS RT-AX88U has insufficient filtering for special characters in the HTTP header parameter. A remote attacker with general user privilege can exploit this vulnerability to inject JavaScript and perform Stored Cross-Site Scripting (XSS) attacks. ASUS RT-AX88U presenta un filtrado insuficiente para caracteres especiales en el parámetro de encabezado HTTP. Un atacante remoto con privilegio de usuario general puede explotar esta vulnerabilidad para inyectar JavaScript y llevar a cabo ataques de tipo Cross-Site Scripting (XSS) almacenados • https://www.twcert.org.tw/tw/cp-132-6042-6cc0f-1.html • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVE-2022-26672 – ASUS WebStorage - Use of Hard-coded Credentials
https://notcve.org/view.php?id=CVE-2022-26672
ASUS WebStorage has a hardcoded API Token in the APP source code. An unauthenticated remote attacker can use this token to establish connections with the server and carry out login attempts to general user accounts. A successful login to a general user account allows the attacker to access, modify or delete this user account information. ASUS WebStorage presenta un token de API embebido en el código fuente de la APP. Un atacante remoto no autenticado puede usar este token para establecer conexiones con el servidor y llevar a cabo intentos de inicio de sesión en cuentas de usuario generales. • https://www.twcert.org.tw/tw/cp-132-6041-7bd67-1.html • CWE-798: Use of Hard-coded Credentials •
CVE-2022-25597 – ASUS RT-AC86U - Command Injection
https://notcve.org/view.php?id=CVE-2022-25597
ASUS RT-AC86U’s LPD service has insufficient filtering for special characters in the user request, which allows an unauthenticated LAN attacker to perform command injection attack, execute arbitrary commands and disrupt or terminate service. El servicio LPD de ASUS RT-AC86U, presenta un filtrado insuficiente para caracteres especiales en la petición del usuario, lo que permite a un atacante no autenticado de la LAN llevar a cabo un ataque de inyección de comandos, ejecutar comandos arbitrarios e interrumpir o terminar el servicio • https://www.twcert.org.tw/tw/cp-132-5794-09c33-1.html • CWE-78: Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection') •