CVSS: 7.5EPSS: 0%CPEs: 1EXPL: 0CVE-2020-14519
https://notcve.org/view.php?id=CVE-2020-14519
This vulnerability allows an attacker to use the internal WebSockets API for CodeMeter (All versions prior to 7.00 are affected, including Version 7.0 or newer with the affected WebSockets API still enabled. This is especially relevant for systems or devices where a web browser is used to access a web server) via a specifically crafted Java Script payload, which may allow alteration or creation of license files for when combined with CVE-2020-14515. Esta vulnerabilidad permite a un atacante utilizar la API de WebSockets interna para CodeMeter (todas las versiones anteriores a 7.00 están afectadas, incluyendo la versión 7.0 o más reciente con la API de WebSockets afectada aún habilitada. Esto es especialmente relevante para los sistemas o dispositivos en los que se usa un navegador web para acceder a un servidor web) por medio de una carga útil de Java Script específicamente diseñada, que puede permitir una alteración o creación de archivos de licencia para cuando se combina con CVE-2020-14515 • https://us-cert.cisa.gov/ics/advisories/icsa-20-203-01 • CWE-346: Origin Validation Error •
CVSS: 9.8EPSS: 0%CPEs: 1EXPL: 0CVE-2020-14517
https://notcve.org/view.php?id=CVE-2020-14517
Protocol encryption can be easily broken for CodeMeter (All versions prior to 6.90 are affected, including Version 6.90 or newer only if CodeMeter Runtime is running as server) and the server accepts external connections, which may allow an attacker to remotely communicate with the CodeMeter API. El cifrado del protocolo se puede romper fácilmente para CodeMeter (todas las versiones anteriores a 6.90 están afectadas, incluyendo la versión 6.90 o más reciente solo si CodeMeter Runtime es ejecutado como servidor) y el servidor acepta conexiones externas, lo que puede permitir a un atacante comunicarse de forma remota con la API de CodeMeter • https://us-cert.cisa.gov/ics/advisories/icsa-20-203-01 • CWE-326: Inadequate Encryption Strength CWE-327: Use of a Broken or Risky Cryptographic Algorithm •
CVSS: 9.8EPSS: 0%CPEs: 1EXPL: 0CVE-2020-14509
https://notcve.org/view.php?id=CVE-2020-14509
Multiple memory corruption vulnerabilities exist in CodeMeter (All versions prior to 7.10) where the packet parser mechanism does not verify length fields. An attacker could send specially crafted packets to exploit these vulnerabilities. Se presentan múltiples vulnerabilidades de corrupción de la memoria en CodeMeter (todas las versiones anteriores a 7.10) donde el mecanismo del analizador de paquetes no verifica los campos de longitud. Un atacante podría enviar paquetes especialmente diseñados para explotar estas vulnerabilidades • https://us-cert.cisa.gov/ics/advisories/icsa-20-203-01 • CWE-805: Buffer Access with Incorrect Length Value •
CVSS: 5.4EPSS: 0%CPEs: 1EXPL: 3CVE-2017-13754 – CodeMeter 6.50 - Cross-Site Scripting
https://notcve.org/view.php?id=CVE-2017-13754
Cross-site scripting (XSS) vulnerability in the "advanced settings - time server" module in Wibu-Systems CodeMeter before 6.50b allows remote attackers to inject arbitrary web script or HTML via the "server name" field in actions/ChangeConfiguration.html. Una vulnerabilidad de tipo Cross-Site Scripting (XSS) en el módulo "advanced settings - time server" en Wibu-Systems CodeMeter en versiones anteriores a la 6.50b permite que atacantes remotos inyecten scripts web o HTML arbitrarios mediante el campo "server name" en actions/ChangeConfiguration.html. • https://www.exploit-db.com/exploits/42610 http://seclists.org/fulldisclosure/2017/Sep/1 http://www.securityfocus.com/archive/1/541119/100/0/threaded http://www.securityfocus.com/bid/104433 https://ics-cert.us-cert.gov/advisories/ICSA-18-102-02 https://rockwellautomation.custhelp.com/app/answers/detail/a_id/1073133 https://www.vulnerability-lab.com/get_content.php?id=2074 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •