CVE-2018-7830
https://notcve.org/view.php?id=CVE-2018-7830
Improper Neutralization of CRLF Sequences in HTTP Headers ('HTTP Response Splitting') vulnerability exists in the embedded web servers in all Modicon M340, Premium, Quantum PLCs and BMXNOR0200 where a denial of service can occur for ~1 minute by sending a specially crafted HTTP request. Existe una vulnerabilidad de neutralización incorrecta de secuencias CRLF en cabeceras HTTP ("separación de respuesta HTTP") en los servidores web embebidos en todos los productos Modicon M340, Premium, Quantum PLCs y BMXNOR0200, donde puede ocurrir una denegación de servicio (DoS) durante 1 minuto aproximadamente mediante el envío de una petición HTTP especialmente manipulada. • https://www.schneider-electric.com/en/download/document/SEVD-2018-327-01 https://www.tenable.com/security/research/tra-2018-38 • CWE-113: Improper Neutralization of CRLF Sequences in HTTP Headers ('HTTP Request/Response Splitting') •
CVE-2018-7810
https://notcve.org/view.php?id=CVE-2018-7810
An Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') vulnerability exists in the embedded web servers in all Modicon M340, Premium, Quantum PLCs and BMXNOR0200 allowing an attacker to craft a URL containing JavaScript that will be executed within the user's browser, potentially impacting the machine the browser is running on. Existe una vulnerabilidad de neutralización indebida de entradas durante la generación de páginas web ("Cross-Site Scripting") en los servidores web embebidos en todos los productos Modicon M340, Premium, Quantum PLCs y BMXNOR0200, lo que podría permitir que un atacante manipule una URL que contiene JavaScript, que se ejecutará en el navegador del usuario, teniendo un impacto potencial en la máquina en la que se está ejecutando el navegador. • https://www.schneider-electric.com/en/download/document/SEVD-2018-327-01 https://www.tenable.com/security/research/tra-2018-38 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVE-2018-7811
https://notcve.org/view.php?id=CVE-2018-7811
An Unverified Password Change vulnerability exists in the embedded web servers in all Modicon M340, Premium, Quantum PLCs and BMXNOR0200 which could allow an unauthenticated remote user to access the change password function of the web server Existe un cambio de contraseña sin verificar en los servidores web embebidos en todos los productos Modicon M340, Premium, Quantum PLCs y BMXNOR0200, lo que podría permitir que un usuario remoto no autenticado acceda a la función de cambio de contraseñas del servidor web. • https://security.cse.iitk.ac.in/responsible-disclosure https://www.schneider-electric.com/en/download/document/SEVD-2018-327-01 https://www.tenable.com/security/research/tra-2018-38 • CWE-640: Weak Password Recovery Mechanism for Forgotten Password •
CVE-2018-7831
https://notcve.org/view.php?id=CVE-2018-7831
An Improper Neutralization of Script-Related HTML Tags in a Web Page (Basic XSS) vulnerability exists in the embedded web servers in all Modicon M340, Premium, Quantum PLCs and BMXNOR0200 allowing an attacker to send a specially crafted URL to a currently authenticated web server user to execute a password change on the web server. Existe una vulnerabilidad de neutralización incorrecta de etiquetas HTML relacionadas con scripts en una página web (XSS básico) en los servidores web embebidos en todos los productos Modicon M340, Premium, Quantum PLCs y BMXNOR0200, lo que podría permitir que un atacante envíe una URL especialmente manipulada a un usuario autenticado del servidor web para que ejecute un cambio de contraseña en el servidor web. • https://www.schneider-electric.com/en/download/document/SEVD-2018-327-01 https://www.tenable.com/security/research/tra-2018-38 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') CWE-352: Cross-Site Request Forgery (CSRF) •
CVE-2018-7809
https://notcve.org/view.php?id=CVE-2018-7809
An Unverified Password Change vulnerability exists in the embedded web servers in all Modicon M340, Premium, Quantum PLCs and BMXNOR0200 which could allow an unauthenticated remote user to access the password delete function of the web server. Existe una vulnerabilidad de cambio de contraseña sin verificar en los servidores web embebidos en todos los productos Modicon M340, Premium, Quantum PLCs y BMXNOR0200, lo que podría permitir que un usuario remoto no autenticado acceda a la función de borrado de contraseñas del servidor web. • https://www.schneider-electric.com/en/download/document/SEVD-2018-327-01 https://www.tenable.com/security/research/tra-2018-38 • CWE-640: Weak Password Recovery Mechanism for Forgotten Password •