CVSS: 7.5EPSS: 0%CPEs: 2EXPL: 0CVE-2021-34575 – Information Exposure in mymbCONNECT24, mbCONNECT24 <= 2.8.0
https://notcve.org/view.php?id=CVE-2021-34575
In MB connect line mymbCONNECT24, mbCONNECT24 in versions <= 2.8.0 an unauthenticated user can enumerate valid users by checking what kind of response the server sends. En MB connect line mymbCONNECT24, mbCONNECT24 versiones anteriores a 2.8.0 incluyéndolas, un usuario no autenticado puede enumerar usuarios válidos al comprobar qué tipo de respuesta envía el servidor • https://cert.vde.com/de-de/advisories/vde-2021-030 • CWE-203: Observable Discrepancy •
CVSS: 4.3EPSS: 0%CPEs: 4EXPL: 0CVE-2021-34574 – Password policy evasion in products of MB connect line and Helmholz
https://notcve.org/view.php?id=CVE-2021-34574
In MB connect line mymbCONNECT24, mbCONNECT24 and Helmholz myREX24 and myREX24.virtual in all versions through v2.11.2 an authenticated attacker can change the password of his account into a new password that violates the password policy by intercepting and modifying the request that is send to the server. En MB connect line mymbCONNECT24, mbCONNECT24 y Helmholz myREX24 y myREX24.virtual en todas las versiones hasta la v2.11.2 un atacante autenticado puede cambiar la contraseña de su cuenta por una nueva que viole la política de contraseñas interceptando y modificando la petición que se envía al servidor. • https://cert.vde.com/en/advisories/VDE-2021-030 https://cert.vde.com/en/advisories/VDE-2022-039 • CWE-669: Incorrect Resource Transfer Between Spheres •
CVSS: 6.1EPSS: 0%CPEs: 2EXPL: 0CVE-2020-12530
https://notcve.org/view.php?id=CVE-2020-12530
An issue was discovered in MB connect line mymbCONNECT24 and mbCONNECT24 software in all versions through V2.6.2. There is an XSS issue in the redirect.php allowing an attacker to inject code via a get parameter. Se detectó un problema en el software MB connect line mymbCONNECT24 y mbCONNECT24, en todas las versiones hasta la V2.6.2. Se presenta un problema de tipo XSS en el archivo redirect.php que permite a un atacante inyectar código por medio de un parámetro get • https://cert.vde.com/de-de/advisories/vde-2021-003 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 5.8EPSS: 0%CPEs: 2EXPL: 0CVE-2020-12529
https://notcve.org/view.php?id=CVE-2020-12529
An issue was discovered in MB connect line mymbCONNECT24 and mbCONNECT24 software in all versions through V2.6.2 There is a SSRF in the LDAP access check, allowing an attacker to scan for open ports. Se detectó un problema en el software MB connect line mymbCONNECT24 y mbCONNECT24 en todas las versiones hasta la versión V2.6.2. Se presenta un problema de tipo SSRF en la comprobación de acceso LDAP, lo que permite a un atacante escanear puertos abiertos • https://cert.vde.com/de-de/advisories/vde-2021-003 • CWE-918: Server-Side Request Forgery (SSRF) •
CVSS: 7.7EPSS: 0%CPEs: 2EXPL: 0CVE-2020-12528
https://notcve.org/view.php?id=CVE-2020-12528
An issue was discovered in MB connect line mymbCONNECT24 and mbCONNECT24 software in all versions through V2.6.2. Improper use of access validation allows a logged in user to kill web2go sessions in the account he should not have access to. Se detectó un problema en el software MB connect line mymbCONNECT24 y mbCONNECT24 en todas las versiones hasta la V2.6.2. El uso inapropiado de la comprobación de acceso permite que un usuario que haya iniciado sesión elimine las sesiones de web2go en la cuenta a la que no debería tener acceso • https://cert.vde.com/de-de/advisories/vde-2021-003 • CWE-269: Improper Privilege Management •