CVSS: 9.8EPSS: 0%CPEs: 12EXPL: 0CVE-2023-5754 – Improper Restriction of Excessive Authentication Attempts in Sielco PolyEco1000
https://notcve.org/view.php?id=CVE-2023-5754
Sielco PolyEco1000 uses a weak set of default administrative credentials that can be easily guessed in remote password attacks and gain full control of the system. Sielco PolyEco1000 utiliza un conjunto débil de credenciales administrativas predeterminadas que pueden adivinarse fácilmente en ataques remotos a contraseñas y obtener control total del sistema. • https://www.cisa.gov/news-events/ics-advisories/icsa-23-299-07 • CWE-307: Improper Restriction of Excessive Authentication Attempts •
CVSS: 9.8EPSS: 0%CPEs: 12EXPL: 0CVE-2023-0897 – Session FIxation in Sielco PolyEco1000
https://notcve.org/view.php?id=CVE-2023-0897
Sielco PolyEco1000 is vulnerable to a session hijack vulnerability due to the cookie being vulnerable to a brute force attack, lack of SSL, and the session being visible in requests. Sielco PolyEco1000 es afectada por una vulnerabilidad de secuestro de sesión debido a que la cookie es vulnerable a un ataque de fuerza bruta, falta de SSL y la sesión es visible en las solicitudes. • https://www.cisa.gov/news-events/ics-advisories/icsa-23-299-07 • CWE-384: Session Fixation •
CVSS: 8.8EPSS: 0%CPEs: 42EXPL: 0CVE-2023-41966 – Sielco Radio Link and Analog FM Transmitters Privilege Defined With Unsafe Actions
https://notcve.org/view.php?id=CVE-2023-41966
The application suffers from a privilege escalation vulnerability. A user with read permissions can elevate privileges by sending a HTTP POST to set a parameter. La aplicación sufre una vulnerabilidad de escalada de privilegios. Un usuario con permisos de lectura puede elevar sus privilegios enviando un HTTP POST para establecer un parámetro. • https://www.cisa.gov/news-events/ics-advisories/icsa-23-299-08 https://www.sielco.org/en/contacts • CWE-267: Privilege Defined With Unsafe Actions CWE-269: Improper Privilege Management •
CVSS: 6.5EPSS: 0%CPEs: 42EXPL: 0CVE-2023-45228 – Sielco Radio Link and Analog FM Transmitters Improper Access Control
https://notcve.org/view.php?id=CVE-2023-45228
The application suffers from improper access control when editing users. A user with read permissions can manipulate users, passwords, and permissions by sending a single HTTP POST request with modified parameters. La aplicación adolece de un control de acceso inadecuado a la hora de editar usuarios. Un usuario con permisos de lectura puede manipular usuarios, contraseñas y permisos enviando una única solicitud HTTP POST con parámetros modificados. • https://www.cisa.gov/news-events/ics-advisories/icsa-23-299-08 https://www.sielco.org/en/contacts • CWE-284: Improper Access Control •
CVSS: 8.8EPSS: 0%CPEs: 42EXPL: 0CVE-2023-45317 – Sielco Radio Link and Analog FM Transmitters Cross-Site Request Forgery
https://notcve.org/view.php?id=CVE-2023-45317
The application interface allows users to perform certain actions via HTTP requests without performing any validity checks to verify the requests. This can be exploited to perform certain actions with administrative privileges if a logged-in user visits a malicious web site. La interfaz de la aplicación permite a los usuarios realizar ciertas acciones a través de solicitudes HTTP sin realizar ninguna verificación de validez para verificar las solicitudes. Esto se puede aprovechar para realizar determinadas acciones con privilegios administrativos si un usuario que ha iniciado sesión visita un sitio web malicioso. • https://www.cisa.gov/news-events/ics-advisories/icsa-23-299-08 https://www.sielco.org/en/contacts • CWE-352: Cross-Site Request Forgery (CSRF) •