CVSS: 8.8EPSS: 67%CPEs: 5EXPL: 1CVE-2018-7358 – ZTE ZXHN H168N - Improper Access Restrictions
https://notcve.org/view.php?id=CVE-2018-7358
ZTE ZXHN H168N product with versions V2.2.0_PK1.2T5, V2.2.0_PK1.2T2, V2.2.0_PK11T7 and V2.2.0_PK11T have an improper change control vulnerability, which may allow an unauthorized user to perform unauthorized operations. El producto ZTE ZXHN H168N en versiones V2.2.0_PK1.2T5, V2.2.0_PK1.2T2, V2.2.0_PK11T7 y V2.2.0_PK11T tiene una vulnerabilidad de control de cambios incorrecto, que podría permitir que un usuario no autorizado realice acciones no autorizadas. ZTE Home Gateway ZXHN H168N suffers from multiple access bypass and information disclosure vulnerabilities. • https://www.exploit-db.com/exploits/45972 http://support.zte.com.cn/support/news/LoopholeInfoDetail.aspx?newsId=1009523 http://www.securityfocus.com/bid/105963 • CWE-287: Improper Authentication •
CVSS: 7.5EPSS: 0%CPEs: 2EXPL: 0CVE-2018-7356
https://notcve.org/view.php?id=CVE-2018-7356
All versions up to V3.03.10.B23P2 of ZTE ZXR10 8905E product are impacted by TCP Initial Sequence Number (ISN) reuse vulnerability, which can generate easily predictable ISN, and allows remote attackers to spoof connections. Todas las versiones hasta la V3.03.10.B23P2 del producto ZTE ZXR10 8905E se han visto afectadas por una vulnerabilidad de reutilización TCP Initial Sequence Number (ISN), que puede generar ISN fácilmente predecibles y permite que los atacantes remotos suplanten conexiones. • http://support.zte.com.cn/support/news/LoopholeInfoDetail.aspx?newsId=1009783 • CWE-294: Authentication Bypass by Capture-replay •
CVSS: 6.1EPSS: 0%CPEs: 4EXPL: 1CVE-2018-7355 – ZTE MF65 BD_HDV6MF65V1.0.0B05 - Cross-Site Scripting
https://notcve.org/view.php?id=CVE-2018-7355
All versions up to V1.0.0B05 of ZTE MF65 and all versions up to V1.0.0B02 of ZTE MF65M1 are impacted by cross-site scripting vulnerability. Due to improper neutralization of input during web page generation, an attacker could exploit this vulnerability to conduct reflected XSS or HTML injection attacks on the devices. Las versiones hasta la V1.0.0B05 de ZTE MF65 y todas las versiones hasta la V1.0.0B02 de ZTE MF65M1 se han visto impactadas por una vulnerabilidad de Cross-Site Scripting (XSS). Debido a la neutralización incorrecta de las entradas durante la generación de páginas web, un atacante podría explotar esta vulnerabilidad para realizar ataques de Cross-Site Scripting (XSS) reflejado o inyección HTML en los dispositivos. ZTE MF65 BD_HDV6MF65V1.0.0B05 suffers from a cross site scripting vulnerability. • https://www.exploit-db.com/exploits/46102 http://support.zte.com.cn/support/news/LoopholeInfoDetail.aspx?newsId=1009483 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 9.8EPSS: 0%CPEs: 2EXPL: 0CVE-2017-10934
https://notcve.org/view.php?id=CVE-2017-10934
All versions prior to V5.09.02.02T4 of the ZTE ZXIPTV-EPG product use the Java RMI service in which the servers use the Apache Commons Collections (ACC) library that may result in Java deserialization vulnerabilities. An unauthenticated remote attacker can exploit the vulnerabilities by sending a crafted RMI request to execute arbitrary code on the target host. Todas las versiones anteriores a la V5.09.02.02T4 del producto ZTE ZXIPTV-EPG emplean el servicio Java RMI por el que los servidores emplean la biblioteca Apache Commons Collections (ACC), lo que podría resultar en vulnerabilidades de deserialización Java. Un atacante remoto no autenticado puede explotar estas vulnerabilidades mediante el envío de una petición RMI para ejecutar código arbitrario en el host objetivo. • http://support.zte.com.cn/support/news/LoopholeInfoDetail.aspx?newsId=1008682 • CWE-502: Deserialization of Untrusted Data •
CVSS: 7.5EPSS: 0%CPEs: 2EXPL: 0CVE-2017-10937
https://notcve.org/view.php?id=CVE-2017-10937
SQL injection vulnerability in all versions prior to V2.01.05.09 of the ZTE ZXIPTV-UCM product allows remote attackers to execute arbitrary SQL commands via the opertype parameter, resulting in the disclosure of database information. Vulnerabilidad de inyección SQL en todas las versiones anteriores a la V2.01.05.09 del producto ZTE ZXIPTV-UCM permite que atacantes remotos ejecuten comandos SQL arbitrarios mediante el parámetro opertype, lo que resulta en la divulgación de información de la base de datos. • http://support.zte.com.cn/support/news/LoopholeInfoDetail.aspx?newsId=1008782 • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •