CVSS: 10.0EPSS: 0%CPEs: 3EXPL: 0CVE-2019-3706 – Web Interface Authentication Bypass Vulnerability
https://notcve.org/view.php?id=CVE-2019-3706
Dell EMC iDRAC9 versions prior to 3.24.24.24, 3.21.26.22, 3.22.22.22 and 3.21.25.22 contain an authentication bypass vulnerability. A remote attacker may potentially exploit this vulnerability to bypass authentication and gain access to the system by sending specially crafted data to the iDRAC web interface. Dell EMC iDRAC9 versiones anteriores a 3.24.24.24.24, 3.21.26.22, 3.22.22.22 y 3.21.25.22 contienen una vulnerabilidad de omisión de autenticación. Un atacante remoto puede explotar esta vulnerabilidad para evitar la autenticación y obtener acceso al sistema enviando datos especialmente diseñados a la interfaz web de iDRAC. • https://www.dell.com/support/article/us/en/04/sln316930/dsa-2019-028-dell-emc-idrac-multiple-vulnerabilities?lang=en •
CVSS: 8.0EPSS: 0%CPEs: 1EXPL: 0CVE-2018-15781 – DSA-2019-022: Dell Wyse Password Encoder Hard-coded Cryptographic Key Vulnerability
https://notcve.org/view.php?id=CVE-2018-15781
The Dell Wyse Password Encoder in ThinLinux2 versions prior to 2.1.0.01 contain a Hard-coded Cryptographic Key vulnerability. An unauthenticated remote attacker could reverse engineer the cryptographic system used in the Dell Wyse Password Encoder to discover the hard coded private key and decrypt locally stored cipher text. El codificador de contraseñas Dell Wyse en ThinLinux2, en versiones anteriores a la 2.1.0.01, contiene una vulnerabilidad de clave criptográfica embebida. Un atacante remoto no autenticado podría emplear ingeniería inversa en el sistema criptográfico empleado en el codificador de contraseñas Dell Wyse para descubrir la clave privada embebida y descifrar el texto cifrado almacenado de forma local. • https://www.dell.com/support/article/SLN316104 • CWE-798: Use of Hard-coded Credentials •
CVSS: 7.8EPSS: 0%CPEs: 2EXPL: 0CVE-2019-3704
https://notcve.org/view.php?id=CVE-2019-3704
VNX Control Station in Dell EMC VNX2 OE for File versions prior to 8.1.9.236 contains OS command injection vulnerability. Due to inadequate restriction configured in sudores, a local authenticated malicious user could potentially execute arbitrary OS commands as root by exploiting this vulnerability. VNX Control Station en Dell EMC VNX2 OE for File, en versiones anteriores a la 8.1.9.236, contiene una vulnerabilidad de inyección de comandos del sistema operativo. Debido a las restricciones inadecuadas configuradas en sudores, un usuario local autenticado malicioso podría ejecutar comandos arbitrarios del sistema operativo como root explotando esta vulnerabilidad. • http://www.securityfocus.com/bid/106954 https://seclists.org/fulldisclosure/2019/Feb/8 • CWE-78: Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection') •
CVSS: 8.8EPSS: 0%CPEs: 1EXPL: 0CVE-2018-15778 – DSA-2019-019: Dell Networking OS10 OS Command Injection Vulnerability
https://notcve.org/view.php?id=CVE-2018-15778
Dell OS10 versions prior to 10.4.2.1 contain a vulnerability caused by lack of proper input validation on the command-line interface (CLI). Dell OS10, en versiones anteriores a la 10.4.2.1, contiene una vulnerabilidad provocada por la falta de una validación de entradas correcta en la interfaz de línea de comandos. • https://www.dell.com/support/article/sln316095 • CWE-20: Improper Input Validation •
CVSS: 7.4EPSS: 0%CPEs: 1EXPL: 0CVE-2018-15784 – DSA-2019-001: Dell Networking OS10 Improper Certificate Validation Vulnerability
https://notcve.org/view.php?id=CVE-2018-15784
Dell Networking OS10 versions prior to 10.4.3.0 contain a vulnerability in the Phone Home feature which does not properly validate the server's certificate authority during TLS handshake. Use of an invalid or malicious certificate could potentially allow an attacker to spoof a trusted entity by using a man-in-the-middle (MITM) attack. Dell Networking OS10 en versiones anteriores a la 10.4.3.0 contiene una vulnerabilidad en la funcionalidad "Phone Home" que no valida de manera correcta el certificado del servidor durante una negociación TLS. EL uso de un certificado inválido o malicioso podría permitir a un atacante suplantar una entidad fiable mediante un atacante Man-in-the-Middle (MitM). • https://www.dell.com/support/article/us/en/04/sln315899/dsa-2019-001-dell-networking-os10-improper-certificate-validation-vulnerability?lang=en • CWE-295: Improper Certificate Validation •