CVSS: 8.8EPSS: 0%CPEs: 1EXPL: 0CVE-2020-6982
https://notcve.org/view.php?id=CVE-2020-6982
In Honeywell WIN-PAK 4.7.2, Web and prior versions, the header injection vulnerability has been identified, which may allow remote code execution. En Honeywell WIN-PAK versión 4.7.2, Web y versiones anteriores, se identificó una vulnerabilidad de inyección de encabezado, lo que puede permitir una ejecución de código remota. • https://www.us-cert.gov/ics/advisories/icsa-20-056-05 • CWE-74: Improper Neutralization of Special Elements in Output Used by a Downstream Component ('Injection') CWE-644: Improper Neutralization of HTTP Headers for Scripting Syntax •
CVSS: 8.8EPSS: 0%CPEs: 1EXPL: 0CVE-2020-7005
https://notcve.org/view.php?id=CVE-2020-7005
In Honeywell WIN-PAK 4.7.2, Web and prior versions, the affected product is vulnerable to a cross-site request forgery, which may allow an attacker to remotely execute arbitrary code. En Honeywell WIN-PAK versión 4.7.2, Web y versiones anteriores, el producto afectado es vulnerable a un ataque de tipo cross-site request forgery, lo que puede permitir a un atacante ejecutar código arbitrario remotamente. • https://www.us-cert.gov/ics/advisories/icsa-20-056-05 • CWE-352: Cross-Site Request Forgery (CSRF) •
CVSS: 9.1EPSS: 0%CPEs: 1EXPL: 0CVE-2020-6972
https://notcve.org/view.php?id=CVE-2020-6972
In Notifier Web Server (NWS) Version 3.50 and earlier, the Honeywell Fire Web Server’s authentication may be bypassed by a capture-replay attack from a web browser. En Notifier Web Server (NWS) versiones 3.50 y anteriores, la autenticación del Honeywell Fire Web Server puede ser omitida por un ataque de reproducción de captura desde un navegador web. • https://www.us-cert.gov/ics/advisories/icsa-20-051-03 • CWE-294: Authentication Bypass by Capture-replay •
CVSS: 7.8EPSS: 0%CPEs: 2EXPL: 0CVE-2020-6968
https://notcve.org/view.php?id=CVE-2020-6968
Honeywell INNCOM INNControl 3 allows workstation users to escalate application user privileges through the modification of local configuration files. Honeywell INNCOM INNControl 3, permite a usuarios de estación de trabajo escalar privilegios a usuarios de aplicación mediante la modificación de los archivos de configuración local. • https://www.us-cert.gov/ics/advisories/icsa-20-049-01 • CWE-269: Improper Privilege Management •
CVSS: 9.8EPSS: 0%CPEs: 12EXPL: 0CVE-2020-6960
https://notcve.org/view.php?id=CVE-2020-6960
The following versions of MAXPRO VMS and NVR, MAXPRO VMS:HNMSWVMS prior to Version VMS560 Build 595 T2-Patch, HNMSWVMSLT prior to Version VMS560 Build 595 T2-Patch, MAXPRO NVR: MAXPRO NVR XE prior to Version NVR 5.6 Build 595 T2-Patch, MAXPRO NVR SE prior to Version NVR 5.6 Build 595 T2-Patch, MAXPRO NVR PE prior to Version NVR 5.6 Build 595 T2-Patch, and MPNVRSWXX prior to Version NVR 5.6 Build 595 T2-Patch contain an SQL injection vulnerability that could give an attacker remote unauthenticated access to the web user interface with administrator-level privileges. Las siguientes versiones de MAXPRO VMS y NVR, MAXPRO VMS: HNMSWVMS anterior a Versión VMS560 Build 595 T2-Patch, HNMSWVMSLT anterior a Versión VMS560 Build 595 T2-Patch, MAXPRO NVR: MAXPRO NVR XE anterior a Versión NVR 5.6 Build 595 T2-Patch , MAXPRO NVR SE anterior a Versión NVR 5.6 Build 595 T2-Patch, MAXPRO NVR PE anterior a Versión NVR 5.6 Build 595 T2-Patch y MPNVRSWXX anterior a Versión NVR 5.6 Build 595 T2-Patch, contienen una vulnerabilidad de inyección SQL que podría otorgar a un atacante un acceso no autenticado remoto en la interfaz de usuario web con privilegios de nivel de administrador. • https://www.us-cert.gov/ics/advisories/icsa-20-021-01 • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •