CVSS: 8.8EPSS: 0%CPEs: 2EXPL: 0CVE-2020-25198 – MOXA NPort IAW5000A-I/O Series
https://notcve.org/view.php?id=CVE-2020-25198
The built-in WEB server for MOXA NPort IAW5000A-I/O firmware version 2.1 or lower has incorrectly implemented protections from session fixation, which may allow an attacker to gain access to a session and hijack it by stealing the user’s cookies. El servidor WEB incorporado para MOXA NPort IAW5000A-I/O versiones de firmware 2.1 o inferiores, ha implementado incorrectamente protecciones contra la fijación de sesiones, lo que puede permitir a un atacante conseguir acceso a una sesión y secuestrarla para robar las cookies del usuario • https://us-cert.cisa.gov/ics/advisories/icsa-20-287-01 • CWE-384: Session Fixation •
CVSS: 8.8EPSS: 0%CPEs: 2EXPL: 0CVE-2020-25194 – MOXA NPort IAW5000A-I/O Series
https://notcve.org/view.php?id=CVE-2020-25194
The built-in WEB server for MOXA NPort IAW5000A-I/O firmware version 2.1 or lower has improper privilege management, which may allow an attacker with user privileges to perform requests with administrative privileges. El servidor WEB incorporado para MOXA NPort IAW5000A-I/O versiones de firmware 2.1 o inferiores, presenta una administración de privilegios inapropiada, lo que puede permitir a un atacante con privilegios de usuario llevar a cabo peticiones con privilegios administrativos • https://us-cert.cisa.gov/ics/advisories/icsa-20-287-01 • CWE-269: Improper Privilege Management •
CVSS: 9.8EPSS: 0%CPEs: 2EXPL: 0CVE-2020-25190 – MOXA NPort IAW5000A-I/O Series
https://notcve.org/view.php?id=CVE-2020-25190
The built-in WEB server for MOXA NPort IAW5000A-I/O firmware version 2.1 or lower stores and transmits the credentials of third-party services in cleartext. El servidor WEB incorporado para MOXA NPort IAW5000A-I/O versiones de firmware 2.1 o inferiores, almacena y transmite las credenciales de servicios de terceros en texto sin cifrar • https://us-cert.cisa.gov/ics/advisories/icsa-20-287-01 • CWE-319: Cleartext Transmission of Sensitive Information •
CVSS: 9.3EPSS: 0%CPEs: 1EXPL: 1CVE-2020-13537
https://notcve.org/view.php?id=CVE-2020-13537
An exploitable local privilege elevation vulnerability exists in the file system permissions of Moxa MXView series 3.1.8 installation. Depending on the vector chosen, an attacker can either add code to a script or replace a binary.By default MXViewService, which starts as a NT SYSTEM authority user executes a series of Node.Js scripts to start additional application functionality and among them the mosquitto executable is also run. Se presenta una vulnerabilidad de elevación de privilegios local explotable en los permisos del sistema de archivos de la instalación de Moxa MXView series versión 3.1.8. Dependiendo del vector elegido, un atacante puede agregar código a un script o reemplazar un binario. Por defecto, MXViewService, que comienza como un usuario de autoridad NT SYSTEM ejecuta una serie de scripts de Node.Js para iniciar la funcionalidad adicional de la aplicación y, entre ellos, el mosquitto ejecutable también se ejecuta • https://talosintelligence.com/vulnerability_reports/TALOS-2020-1148 • CWE-276: Incorrect Default Permissions •
CVSS: 9.3EPSS: 0%CPEs: 1EXPL: 1CVE-2020-13536
https://notcve.org/view.php?id=CVE-2020-13536
An exploitable local privilege elevation vulnerability exists in the file system permissions of Moxa MXView series 3.1.8 installation. Depending on the vector chosen, an attacker can either add code to a script or replace a binary. By default MXViewService, which starts as a NT SYSTEM authority user executes a series of Node.Js scripts to start additional application functionality. Se presenta una vulnerabilidad de elevación de privilegios local explotable en los permisos del sistema de archivos de la instalación de Moxa MXView series versión 3.1.8. Dependiendo del vector elegido, un atacante puede agregar código a un script o reemplazar un binario. • https://talosintelligence.com/vulnerability_reports/TALOS-2020-1148 • CWE-276: Incorrect Default Permissions •