CVSS: 5.4EPSS: 0%CPEs: 1EXPL: 0CVE-2020-6876
https://notcve.org/view.php?id=CVE-2020-6876
A ZTE product is impacted by an XSS vulnerability. The vulnerability is caused by the lack of correct verification of client data in the WEB module. By inserting malicious scripts into the web module, a remote attacker could trigger an XSS attack when the user browses the web page. Then the attacker could use the vulnerability to steal user cookies or destroy the page structure. This affects: eVDC ZXCLOUD-iROSV6.03.04 Un producto ZTE está afectado por una vulnerabilidad de tipo XSS. • http://support.zte.com.cn/support/news/LoopholeInfoDetail.aspx?newsId=1013782 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 9.8EPSS: 0%CPEs: 2EXPL: 0CVE-2020-6875
https://notcve.org/view.php?id=CVE-2020-6875
A ZTE product is impacted by the improper access control vulnerability. Due to lack of an authentication protection mechanism in the program, attackers could use this vulnerability to gain access right through brute-force attacks. This affects: <ZXONE 19700 SNPE><ZXONE8700V1.40R2B13_SNPE> Un producto ZTE está afectado por una vulnerabilidad de control de acceso inapropiado. Debido a una falta de un mecanismo de protección de autenticación en el programa, unos atacantes podrían usar esta vulnerabilidad para conseguir derecho de acceso por medio de ataques de fuerza bruta. Esto afecta a: (ZXONE 19700 SNPE)(ZXONE8700V1.40R2B13_SNPE) • http://support.zte.com.cn/support/news/LoopholeInfoDetail.aspx?newsId=1013643 • CWE-306: Missing Authentication for Critical Function •
CVSS: 5.3EPSS: 0%CPEs: 2EXPL: 0CVE-2020-6873
https://notcve.org/view.php?id=CVE-2020-6873
A ZTE product has a DoS vulnerability. Because the equipment couldn’t distinguish the attack packets and normal packets with valid http links, the remote attackers could use this vulnerability to cause the equipment WEB/TELNET module denial of service and make the equipment be out of management. This affects: ZXR10 2800-4_ALMPUFB(LOW), all versions up to V3.00.40. Un producto ZTE presenta una vulnerabilidad de DoS. Debido a que el equipo no pudo distinguir los paquetes de ataque y los paquetes normales con enlaces http válidos, los atacantes remotos podrían usar esta vulnerabilidad para causar la denegación de servicio del módulo WEB/TELNET del equipo y hacer que el equipo quede fuera de administración. • http://support.zte.com.cn/support/news/LoopholeInfoDetail.aspx?newsId=1013403 •
CVSS: 9.1EPSS: 0%CPEs: 2EXPL: 0CVE-2020-6874
https://notcve.org/view.php?id=CVE-2020-6874
A ZTE product is impacted by the cryptographic issues vulnerability. The encryption algorithm is not properly used, so remote attackers could use this vulnerability for account credential enumeration attack or brute-force attack for password guessing. This affects: ZXIPTV, ZXIPTV-WEB-PV5.09.08.04. Un producto ZTE está afectado por una vulnerabilidad de problemas criptográficos. El algoritmo de cifrado no es utilizado apropiadamente, por lo que los atacantes remotos podrían usar esta vulnerabilidad para ataques de enumeración de credenciales de cuentas o ataques de fuerza bruta para adivinar contraseñas. • http://support.zte.com.cn/support/news/LoopholeInfoDetail.aspx?newsId=1013463 • CWE-327: Use of a Broken or Risky Cryptographic Algorithm CWE-522: Insufficiently Protected Credentials •
CVSS: 6.1EPSS: 0%CPEs: 24EXPL: 0CVE-2020-6872
https://notcve.org/view.php?id=CVE-2020-6872
The server management software module of ZTE has a storage XSS vulnerability. The attacker inserts some attack codes through the foreground login page, which will cause the user to execute the predefined malicious script in the browser. This affects <R5300G4V03.08.0100/V03.07.0300/V03.07.0200/V03.07.0108/V03.07.0100/V03.05.0047/V03.05.0046/V03.05.0045/V03.05.0044/V03.05.0043/V03.05.0040/V03.04.0020;R8500G4V03.07.0103/V03.07.0101/V03.06.0100/V03.05.0400/V03.05.0020;R5500G4V03.08.0100/V03.07.0200/V03.07.0100/V03.06.0100>. El módulo del software de administración del servidor de ZTE presenta una vulnerabilidad de tipo XSS almacenado. El atacante inserta algunos códigos de ataque por medio de la página de inicio de sesión en primer plano, lo que causará que un usuario ejecute un script malicioso predefinido en el navegador. • http://support.zte.com.cn/support/news/LoopholeInfoDetail.aspx?newsId=1013203 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •