CVSS: 8.8EPSS: 0%CPEs: 3EXPL: 0CVE-2018-1244 – iDRAC7/iDRAC8/iDrac9 contains a command injection vulnerability in the SNMP agent.
https://notcve.org/view.php?id=CVE-2018-1244
Dell EMC iDRAC7/iDRAC8, versions prior to 2.60.60.60, and iDRAC9 versions prior to 3.21.21.21 contain a command injection vulnerability in the SNMP agent. A remote authenticated malicious iDRAC user with configuration privileges could potentially exploit this vulnerability to execute arbitrary commands on the iDRAC where SNMP alerting is enabled. Dell EMC iDRAC7/iDRAC8, en versiones anteriores a la 2.60.60.60, y iDRAC9 en versiones anteriores a la 3.21.21.21, contienen una vulnerabilidad de inyección de comandos en el agente SNMP. Un usuario iDRAC autenticado remoto con privilegios de configuración podría explotar esta vulnerabilidad para ejecutar comandos arbitrarios en el iDRAC donde las alertas SNMP están habilitadas. • http://en.community.dell.com/techcenter/extras/m/white_papers/20487494 http://www.securityfocus.com/bid/104964 • CWE-77: Improper Neutralization of Special Elements used in a Command ('Command Injection') •
CVSS: 7.5EPSS: 0%CPEs: 4EXPL: 0CVE-2018-1243 – iDRAC6/iDRAC7/iDRAC8 - Weak CGI session ID vulnerability
https://notcve.org/view.php?id=CVE-2018-1243
Dell EMC iDRAC6, versions prior to 2.91, iDRAC7/iDRAC8, versions prior to 2.60.60.60 and iDRAC9, versions prior to 3.21.21.21, contain a weak CGI session ID vulnerability. The sessions invoked via CGI binaries use 96-bit numeric-only session ID values, which makes it easier for remote attackers to perform bruteforce session guessing attacks. Dell EMC iDRAC6, en versiones anteriores a la 2.91; iDRAC7/iDRAC8, en versiones anteriores a la 2.60.60.60 y iDRAC9, en versiones anteriores a la 3.21.21.21, contienen una vulnerabilidad de ID de sesión CGI débil. Las sesiones invocadas mediante binarios CGI emplean valores de ID de sesión solo numéricos de 96 bits, lo que facilita que los atacantes remotos realicen ataques de adivinación de sesión por fuerza bruta. • http://en.community.dell.com/techcenter/extras/m/white_papers/20487494 • CWE-358: Improperly Implemented Security Check for Standard •
CVSS: 9.0EPSS: 0%CPEs: 4EXPL: 0CVE-2016-5685
https://notcve.org/view.php?id=CVE-2016-5685
Dell iDRAC7 and iDRAC8 devices with firmware before 2.40.40.40 allow authenticated users to gain Bash shell access through a string injection. Los dispositivos Dell iDRAC7 e iDRAC8 con firmware en versiones anteriores a 2.40.40.40 permiten a usuarios autenticados obtener acceso al shell Bash a través de una inyección de cadena. • http://en.community.dell.com/techcenter/extras/m/white_papers/20443326 http://www.securityfocus.com/bid/94585 • CWE-74: Improper Neutralization of Special Elements in Output Used by a Downstream Component ('Injection') •
CVSS: 4.3EPSS: 0%CPEs: 17EXPL: 0CVE-2013-3589
https://notcve.org/view.php?id=CVE-2013-3589
Cross-site scripting (XSS) vulnerability in the login page in the Administrative Web Interface on Dell iDRAC6 monolithic devices with firmware before 1.96 and iDRAC7 devices with firmware before 1.46.45 allows remote attackers to inject arbitrary web script or HTML via the ErrorMsg parameter. Vulnerabilidad XSS en la página de login del interfaz de administración web en los dispositivos monolíticos Dell iDRAC6 con firmware anterior a v1.46.45 permite a atacantes remotos inyectar secuencias de comandos web o HTML arbitrarias a través del parámetro "ErrorMsg". • http://www.kb.cert.org/vuls/id/920038 http://www.kb.cert.org/vuls/id/BLUU-997QVW • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •