CVSS: 7.2EPSS: 0%CPEs: 2EXPL: 0CVE-2017-10935
https://notcve.org/view.php?id=CVE-2017-10935
All versions prior to ZSRV2 V3.00.40 of the ZTE ZXR10 1800-2S products allow remote authenticated users to bypass the original password authentication protection to change other user's password. Todas las versiones anteriores a ZSRV2 V3.00.40 de los productos ZTE ZXR10 1800-2S permiten que usuarios autenticados remotos omitan la protección de autenticación por contraseña original para cambiar las contraseñas de otros usuarios. • http://support.zte.com.cn/support/news/LoopholeInfoDetail.aspx?newsId=1008723 •
CVSS: 7.5EPSS: 0%CPEs: 2EXPL: 0CVE-2017-10936
https://notcve.org/view.php?id=CVE-2017-10936
SQL injection vulnerability in all versions prior to V4.01.01 of the ZTE ZXCDN-SNS product allows remote attackers to execute arbitrary SQL commands via the aoData parameter, resulting in the disclosure of database information. Vulnerabilidad de inyección SQL en todas las versiones anteriores a la V4.01.01 del producto ZTE ZXCDN-SNS permite que atacantes remotos ejecuten comandos SQL arbitrarios mediante el parámetro aoData, lo que resulta en la divulgación de información de la base de datos. • http://support.zte.com.cn/support/news/LoopholeInfoDetail.aspx?newsId=1008722 • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •
CVSS: 7.5EPSS: 3%CPEs: 2EXPL: 2CVE-2017-16953 – ZTE ZXDSL 831CII - Improper Access Restrictions
https://notcve.org/view.php?id=CVE-2017-16953
connoppp.cgi on ZTE ZXDSL 831CII devices does not require HTTP Basic Authentication, which allows remote attackers to modify the PPPoE configuration or set up a malicious configuration via a GET request. connoppp.cgi en dispositivos ZTE ZXDSL 831CII no requiere autenticación básica HTTP, lo que permite que los atacantes remotos modifiquen la configuración PPPoE o realicen una configuración maliciosa mediante una petición GET. ZTE ZXDSL 831 suffers from an insecure direct object reference vulnerability. • https://www.exploit-db.com/exploits/43188 http://packetstormsecurity.com/files/145121/ZTE-ZXDSL-831-Unauthorized-Configuration-Access-Bypass.html http://support.zte.com.cn/support/news/LoopholeInfoDetail.aspx?newsId=1008762 • CWE-287: Improper Authentication •
CVSS: 7.5EPSS: 0%CPEs: 2EXPL: 0CVE-2017-10933
https://notcve.org/view.php?id=CVE-2017-10933
All versions prior to V2.06.00.00 of ZTE ZXDT22 SF01, an monitoring system of ZTE energy product, are impacted by directory traversal vulnerability that allows remote attackers to read arbitrary files on the system via a full path name after host address. Todas las versiones anteriores a la V2.06.00.00 de ZTE ZXDT22 SF01, un sistema de monitorización de ZTE energy product, se ven afectadas por una vulnerabilidad de salto de directorio que permite que atacantes remotos lean archivos arbitrarios en el sistema mediante un nombre de ruta completo después de la dirección del host. • http://support.zte.com.cn/support/news/LoopholeInfoDetail.aspx?newsId=1008582 • CWE-22: Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') •
CVSS: 10.0EPSS: 0%CPEs: 12EXPL: 0CVE-2017-10932
https://notcve.org/view.php?id=CVE-2017-10932
All versions prior to V12.17.20 of the ZTE Microwave NR8000 series products - NR8120, NR8120A, NR8120, NR8150, NR8250, NR8000 TR and NR8950 are the applications of C/S architecture using the Java RMI service in which the servers use the Apache Commons Collections (ACC) library that may result in Java deserialization vulnerabilities. An unauthenticated remote attacker can exploit the vulnerabilities by sending a crafted RMI request to execute arbitrary code on the target host. Todas las versiones anteriores a V12.17.20 de los productos de ZTE Microwave de la serie NR8000 (NR8120, NR8120A, NR8120, NR8150, NR8250, NR8000 TR y NR8950) son las aplicaciones de arquitectura C/S que emplean el servicio Java RMI mediante el cual los servidores emplean la biblioteca Apache Commons Collections (ACC), lo que puede originar vulnerabilidades de deserialización de Java. Un atacante remoto sin autenticar puede explotar estas vulnerabilidades enviando una petición RMI manipulada para ejecutar código arbitrario en el host objetivo. • http://support.zte.com.cn/support/news/LoopholeInfoDetail.aspx?newsId=1008422 • CWE-502: Deserialization of Untrusted Data •