CVSS: 7.5EPSS: 0%CPEs: 1EXPL: 0CVE-2020-14513
https://notcve.org/view.php?id=CVE-2020-14513
CodeMeter (All versions prior to 6.81) and the software using it may crash while processing a specifically crafted license file due to unverified length fields. CodeMeter (todas las versiones anteriores a 6.81) y el software que lo usa pueden bloquearse al procesar un archivo de licencia específicamente diseñado debido a campos de longitud no verificados • https://us-cert.cisa.gov/ics/advisories/icsa-20-203-01 • CWE-20: Improper Input Validation •
CVSS: 7.5EPSS: 0%CPEs: 1EXPL: 0CVE-2020-14515
https://notcve.org/view.php?id=CVE-2020-14515
CodeMeter (All versions prior to 6.90 when using CmActLicense update files with CmActLicense Firm Code) has an issue in the license-file signature checking mechanism, which allows attackers to build arbitrary license files, including forging a valid license file as if it were a valid license file of an existing vendor. Only CmActLicense update files with CmActLicense Firm Code are affected. CodeMeter (todas las versiones anteriores a 6.90 cuando se utilizan archivos de actualización con CmActLicense Firm Code) presenta un problema en el mecanismo de comprobación de firmas de archivos de licencia, que permite a atacantes crear archivos de licencia arbitrarios, incluyendo la falsificación de un archivo de licencia válido como si fuera un archivo de licencia válido de un proveedor existente. Solo están afectados los archivos de actualización de CmActLicense con CmActLicense Firm Code • https://us-cert.cisa.gov/ics/advisories/icsa-20-203-01 • CWE-347: Improper Verification of Cryptographic Signature •
CVSS: 7.5EPSS: 0%CPEs: 1EXPL: 0CVE-2020-14519
https://notcve.org/view.php?id=CVE-2020-14519
This vulnerability allows an attacker to use the internal WebSockets API for CodeMeter (All versions prior to 7.00 are affected, including Version 7.0 or newer with the affected WebSockets API still enabled. This is especially relevant for systems or devices where a web browser is used to access a web server) via a specifically crafted Java Script payload, which may allow alteration or creation of license files for when combined with CVE-2020-14515. Esta vulnerabilidad permite a un atacante utilizar la API de WebSockets interna para CodeMeter (todas las versiones anteriores a 7.00 están afectadas, incluyendo la versión 7.0 o más reciente con la API de WebSockets afectada aún habilitada. Esto es especialmente relevante para los sistemas o dispositivos en los que se usa un navegador web para acceder a un servidor web) por medio de una carga útil de Java Script específicamente diseñada, que puede permitir una alteración o creación de archivos de licencia para cuando se combina con CVE-2020-14515 • https://us-cert.cisa.gov/ics/advisories/icsa-20-203-01 • CWE-346: Origin Validation Error •
CVSS: 9.8EPSS: 0%CPEs: 1EXPL: 0CVE-2020-14517
https://notcve.org/view.php?id=CVE-2020-14517
Protocol encryption can be easily broken for CodeMeter (All versions prior to 6.90 are affected, including Version 6.90 or newer only if CodeMeter Runtime is running as server) and the server accepts external connections, which may allow an attacker to remotely communicate with the CodeMeter API. El cifrado del protocolo se puede romper fácilmente para CodeMeter (todas las versiones anteriores a 6.90 están afectadas, incluyendo la versión 6.90 o más reciente solo si CodeMeter Runtime es ejecutado como servidor) y el servidor acepta conexiones externas, lo que puede permitir a un atacante comunicarse de forma remota con la API de CodeMeter • https://us-cert.cisa.gov/ics/advisories/icsa-20-203-01 • CWE-326: Inadequate Encryption Strength CWE-327: Use of a Broken or Risky Cryptographic Algorithm •
CVSS: 9.8EPSS: 0%CPEs: 1EXPL: 0CVE-2020-14509
https://notcve.org/view.php?id=CVE-2020-14509
Multiple memory corruption vulnerabilities exist in CodeMeter (All versions prior to 7.10) where the packet parser mechanism does not verify length fields. An attacker could send specially crafted packets to exploit these vulnerabilities. Se presentan múltiples vulnerabilidades de corrupción de la memoria en CodeMeter (todas las versiones anteriores a 7.10) donde el mecanismo del analizador de paquetes no verifica los campos de longitud. Un atacante podría enviar paquetes especialmente diseñados para explotar estas vulnerabilidades • https://us-cert.cisa.gov/ics/advisories/icsa-20-203-01 • CWE-805: Buffer Access with Incorrect Length Value •