CVSS: 8.8EPSS: 6%CPEs: 2EXPL: 0CVE-2020-14079
https://notcve.org/view.php?id=CVE-2020-14079
TRENDnet TEW-827DRU devices through 2.06B04 contain a stack-based buffer overflow in the ssi binary. The overflow allows an authenticated user to execute arbitrary code by POSTing to apply.cgi via the action auto_up_fw (or auto_up_lp) with a sufficiently long update_file_name key. Los dispositivos TRENDnet TEW-827DRU versiones hasta 2.06B04, contienen un desbordamiento de búfer en la región stack de la memoria en el binario ssi. El desbordamiento permite a un usuario autenticado ejecutar código arbitrario en la función POSTing en el archivo apply_sec.cgi por medio de la acción auto_up_fw (o auto_up_lp) con una clave de update_file_name lo suficientemente larga • https://github.com/kuc001/IoTFirmware/blob/master/Trendnet/TEW-827/TRENDnet-auto_up_fw.pdf https://github.com/kuc001/IoTFirmware/blob/master/Trendnet/TEW-827/TRENDnet-auto_up_lp.pdf https://github.com/kuc001/IoTFirmware/blob/master/Trendnet/TEW-827/auto_up_fw_overflow.pdf https://github.com/kuc001/IoTFirmware/blob/master/Trendnet/TEW-827/auto_up_lp_overflow.pdf • CWE-787: Out-of-bounds Write •
CVSS: 9.8EPSS: 0%CPEs: 2EXPL: 0CVE-2020-14080
https://notcve.org/view.php?id=CVE-2020-14080
TRENDnet TEW-827DRU devices through 2.06B04 contain a stack-based buffer overflow in the ssi binary. The overflow allows an unauthenticated user to execute arbitrary code by POSTing to apply_sec.cgi via the action ping_test with a sufficiently long ping_ipaddr key. Los dispositivos TRENDnet TEW-827DRU versiones hasta 2.06B04, contienen un desbordamiento de búfer en la región stack de la memoria en el binario ssi. El desbordamiento permite a un usuario no autenticado ejecutar código arbitrario en la función POSTing en el archivo apply_sec.cgi por medio de la acción ping_test con una clave de ping_ipaddr lo suficientemente larga • https://github.com/kuc001/IoTFirmware/blob/master/Trendnet/TEW-827/TRENDnet-ping_test.pdf https://github.com/kuc001/IoTFirmware/blob/master/Trendnet/TEW-827/ping_test_overflow.pdf • CWE-787: Out-of-bounds Write •
CVSS: 9.0EPSS: 0%CPEs: 2EXPL: 0CVE-2020-14081
https://notcve.org/view.php?id=CVE-2020-14081
TRENDnet TEW-827DRU devices through 2.06B04 contain multiple command injections in apply.cgi via the action send_log_email with the key auth_acname (or auth_passwd), allowing an authenticated user to run arbitrary commands on the device. Los dispositivos TRENDnet TEW-827DRU versiones hasta 2.06B04, contienen múltiples inyecciones de comandos en el archivo apply.cgi por medio de la acción send_log_email en la clave auth_acname (o auth_passwd), permitiendo a un usuario autenticado ejecutar comandos arbitrarios en el dispositivo • https://github.com/kuc001/IoTFirmware/blob/master/Trendnet/TEW-827/send_log_email_command.pdf • CWE-78: Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection') •
CVSS: 9.8EPSS: 0%CPEs: 2EXPL: 1CVE-2019-13279
https://notcve.org/view.php?id=CVE-2019-13279
TRENDnet TEW-827DRU with firmware up to and including 2.04B03 contains multiple stack-based buffer overflows when processing user input for the setup wizard, allowing an unauthenticated user to execute arbitrary code. The vulnerability can be exercised on the local intranet or remotely if remote administration is enabled. El dispositivo TEW-827DRU hasta la versión de firmware 2.04B03 e incluida de TRENDnet, contiene múltiples desbordamientos de búfer en la región stack de la memoria al procesar la entrada del usuario para el asistente de configuración, lo que permite a un usuario no autenticado ejecutar código arbitrario. La vulnerabilidad se puede ejercer en la intranet local o remotamente, si la administración remota está habilitada. • https://github.com/fuzzywalls/TRENDNetExploits/tree/master/CVE-2019-13279 • CWE-787: Out-of-bounds Write •
CVSS: 10.0EPSS: 2%CPEs: 2EXPL: 1CVE-2019-13278
https://notcve.org/view.php?id=CVE-2019-13278
TRENDnet TEW-827DRU with firmware up to and including 2.04B03 contains multiple command injections when processing user input for the setup wizard, allowing an unauthenticated user to run arbitrary commands on the device. The vulnerability can be exercised on the local intranet or remotely if remote administration is enabled. El dispositivo TEW-827DRU hasta la versión de firmware 2.04B03 e incluida de TRENDnet, contiene múltiples inyecciones de comandos al procesar la entrada del usuario para el asistente de configuración, lo que permite a un usuario no identificado ejecutar comandos arbitrarios en el dispositivo. La vulnerabilidad se puede ejercer en la intranet local o remotamente, si la administración remota está habilitada. • https://github.com/fuzzywalls/TRENDNetExploits/tree/master/CVE-2019-13278 • CWE-78: Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection') •