CVSS: 5.3EPSS: 0%CPEs: 1EXPL: 0CVE-2018-16496
https://notcve.org/view.php?id=CVE-2018-16496
In Versa Director, the un-authentication request found. En Versa Director, fue encontrada una petición de anulación de autenticación • https://hackerone.com/reports/1168193 • CWE-287: Improper Authentication •
CVSS: 7.8EPSS: 0%CPEs: 1EXPL: 0CVE-2018-16497
https://notcve.org/view.php?id=CVE-2018-16497
In Versa Analytics, the cron jobs are used for scheduling tasks by executing commands at specific dates and times on the server. If the job is run as the user root, there is a potential privilege escalation vulnerability. In this case, the job runs a script as root that is writable by users who are members of the versa group. En Versa Analytics, los trabajos cron son utilizados para programar tareas ejecutando comandos en fechas y horas específicas en el servidor. Si el trabajo se ejecuta como usuario root, se presenta una potencial vulnerabilidad de escalada de privilegios. • https://hackerone.com/reports/1168194 • CWE-269: Improper Privilege Management •
CVSS: 5.5EPSS: 0%CPEs: 1EXPL: 0CVE-2018-16498
https://notcve.org/view.php?id=CVE-2018-16498
In Versa Director, the unencrypted backup files stored on the Versa deployment contain credentials stored within configuration files. These credentials are for various application components such as SNMP, and SSL and Trust keystores. En Versa Director, los archivos de respaldo sin cifrar almacenados en la implementación de Versa contienen credenciales almacenadas dentro de los archivos de configuración. Estas credenciales son para varios componentes de la aplicación, tales como SNMP y almacenes de claves Confiables a SSL • https://hackerone.com/reports/1168195 • CWE-312: Cleartext Storage of Sensitive Information •
CVSS: 5.9EPSS: 0%CPEs: 1EXPL: 0CVE-2018-16499
https://notcve.org/view.php?id=CVE-2018-16499
In VOS compromised, an attacker at network endpoints can possibly view communications between an unsuspecting user and the service using man-in-the-middle attacks. Usage of unapproved SSH encryption protocols or cipher suites also violates the Data Protection TSR (Technical Security Requirements). En VOS comprometido, un atacante en los endpoints de la red posiblemente puede visualizar las comunicaciones entre un usuario desprevenido y el servicio mediante ataques de tipo man-in-the-middle. El uso de protocolos de cifrado SSH o conjuntos de cifrado no aprobados también viola los TSR de protección de datos (Requisitos Técnicos de Seguridad) • https://hackerone.com/reports/1168196 • CWE-326: Inadequate Encryption Strength •
CVSS: 5.5EPSS: 0%CPEs: 3EXPL: 0CVE-2019-25030
https://notcve.org/view.php?id=CVE-2019-25030
In Versa Director, Versa Analytics and VOS, Passwords are not hashed using an adaptive cryptographic hash function or key derivation function prior to storage. Popular hashing algorithms based on the Merkle-Damgardconstruction (such as MD5 and SHA-1) alone are insufficient in thwarting password cracking. Attackers can generate and use precomputed hashes for all possible password character combinations (commonly referred to as "rainbow tables") relatively quickly. The use of adaptive hashing algorithms such asscryptorbcryptor Key-Derivation Functions (i.e.PBKDF2) to hash passwords make generation of such rainbow tables computationally infeasible. En Versa Director, Versa Analytics y VOS, las contraseñas son procesadas usando una función hash criptográfica adaptativa o una función de derivation de clave antes del almacenamiento. • https://hackerone.com/reports/1168197 • CWE-522: Insufficiently Protected Credentials •