CVSS: 9.8EPSS: 0%CPEs: 5EXPL: 0CVE-2021-41292 – ECOA BAS controller - Broken Authentication
https://notcve.org/view.php?id=CVE-2021-41292
30 Sep 2021 — ECOA BAS controller suffers from an authentication bypass vulnerability. An unauthenticated attacker through cookie poisoning can remotely bypass authentication and disclose sensitive information and circumvent physical access controls in smart homes and buildings and manipulate HVAC. El controlador ECOA BAS sufre de una vulnerabilidad de omisión de autenticación. Un atacante no autenticado, mediante el envenenamiento de cookies, puede omitir la autenticación de forma remota y divulgar información confidenc... • https://www.twcert.org.tw/tw/cp-132-5128-b075a-1.html • CWE-287: Improper Authentication CWE-288: Authentication Bypass Using an Alternate Path or Channel •
CVSS: 7.5EPSS: 5%CPEs: 5EXPL: 0CVE-2021-41291 – ECOA BAS controller - Path Traversal-1
https://notcve.org/view.php?id=CVE-2021-41291
30 Sep 2021 — ECOA BAS controller suffers from a path traversal content disclosure vulnerability. Using the GET parameter in File Manager, unauthenticated attackers can remotely disclose directory content on the affected device. El controlador ECOA BAS sufre una vulnerabilidad de divulgación de contenido de salto de ruta. usando el parámetro GET en el Administrador de Archivos, unos atacantes no autenticados pueden divulgar remotamente el contenido del directorio en el dispositivo afectado • https://www.twcert.org.tw/tw/cp-132-5127-3cbd3-1.html • CWE-22: Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') •
CVSS: 10.0EPSS: 0%CPEs: 5EXPL: 0CVE-2021-41290 – ECOA BAS controller - Path Traversal-1
https://notcve.org/view.php?id=CVE-2021-41290
30 Sep 2021 — ECOA BAS controller suffers from an arbitrary file write and path traversal vulnerability. Using the POST parameters, unauthenticated attackers can remotely set arbitrary values for location and content type and gain the possibility to execute arbitrary code on the affected device. El controlador ECOA BAS sufre una vulnerabilidad de escritura de archivos arbitraria y de salto de ruta. usando los parámetros POST, unos atacantes no autenticados pueden establecer remotamente valores arbitrarios para la ubicaci... • https://www.twcert.org.tw/tw/cp-132-5126-ca315-1.html • CWE-22: Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') CWE-434: Unrestricted Upload of File with Dangerous Type •