CVE-2019-5162
https://notcve.org/view.php?id=CVE-2019-5162
An exploitable improper access control vulnerability exists in the iw_webs account settings functionality of the Moxa AWK-3131A firmware version 1.13. A specially crafted user name entry can cause the overwrite of an existing user account password, resulting in remote shell access to the device as that user. An attacker can send commands while authenticated as a low privilege user to trigger this vulnerability. Se presenta una vulnerabilidad de control de acceso inapropiado explotable en la funcionalidad de configuración de la cuenta iw_webs del Moxa AWK-3131A versión de firmware 1.13. Una entrada de nombre de usuario especialmente diseñada puede causar la sobreescritura de una contraseña de una cuenta de usuario existente, resultando en un acceso de shell remoto al dispositivo como ese usuario. • https://talosintelligence.com/vulnerability_reports/TALOS-2019-0955 • CWE-284: Improper Access Control •
CVE-2019-5137
https://notcve.org/view.php?id=CVE-2019-5137
The usage of hard-coded cryptographic keys within the ServiceAgent binary allows for the decryption of captured traffic across the network from or to the Moxa AWK-3131A firmware version 1.13. El uso de claves criptográficas embebidas dentro del binario ServiceAgent, permite el descifrado del tráfico capturado a través de la red desde o hacia el Moxa AWK-3131A versión de firmware 1.13. • https://talosintelligence.com/vulnerability_reports/TALOS-2019-0926 • CWE-321: Use of Hard-coded Cryptographic Key CWE-798: Use of Hard-coded Credentials •
CVE-2019-5138
https://notcve.org/view.php?id=CVE-2019-5138
An exploitable command injection vulnerability exists in encrypted diagnostic script functionality of the Moxa AWK-3131A firmware version 1.13. A specially crafted diagnostic script file can cause arbitrary busybox commands to be executed, resulting in remote control over the device. An attacker can send diagnostic while authenticated as a low privilege user to trigger this vulnerability. Se presenta una vulnerabilidad de inyección de comandos explotable en la funcionalidad de scripts de diagnóstico cifrados del Moxa AWK-3131A versión de firmware 1.13. Un archivo script de diagnóstico especialmente diseñado puede causar que sean ejecutados comandos busybox arbitrarios, resultando en un control remoto sobre el dispositivo. • https://talosintelligence.com/vulnerability_reports/TALOS-2019-0927 • CWE-78: Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection') •
CVE-2019-5136
https://notcve.org/view.php?id=CVE-2019-5136
An exploitable privilege escalation vulnerability exists in the iw_console functionality of the Moxa AWK-3131A firmware version 1.13. A specially crafted menu selection string can cause an escape from the restricted console, resulting in system access as the root user. An attacker can send commands while authenticated as a low privilege user to trigger this vulnerability. Se presenta una vulnerabilidad de escalada de privilegios explotable en la funcionalidad iw_console en Moxa AWK-3131A versión de firmware 1.13. Una cadena de selección de menú especialmente diseñada puede causar un escape de la consola restringida, resultando en un acceso al sistema como el usuario root. • https://talosintelligence.com/vulnerability_reports/TALOS-2019-0925 • CWE-284: Improper Access Control •
CVE-2019-5142
https://notcve.org/view.php?id=CVE-2019-5142
An exploitable command injection vulnerability exists in the hostname functionality of the Moxa AWK-3131A firmware version 1.13. A specially crafted entry to network configuration information can cause execution of arbitrary system commands, resulting in full control of the device. An attacker can send various authenticated requests to trigger this vulnerability. Se presenta una vulnerabilidad de inyección de comandos explotable en la funcionalidad hostname del Moxa AWK-3131A versión de firmware 1.13. Una entrada especialmente diseñada para la información de configuración de red puede causar una ejecución de comandos de sistema arbitraria, resultando en el control total del dispositivo. • https://talosintelligence.com/vulnerability_reports/TALOS-2019-0931 • CWE-78: Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection') •