CVSS: 5.9EPSS: 0%CPEs: 42EXPL: 0CVE-2018-9080 – Iomega and LenovoEMC NAS Web UI Vulnerabilities
https://notcve.org/view.php?id=CVE-2018-9080
For some Iomega, Lenovo, LenovoEMC NAS devices versions 4.1.402.34662 and earlier, by setting the Iomega cookie to a known value before logging into the NAS's web application, the NAS will not provide the user a new cookie value. This allows an attacker who knows the cookie's value to compromise the user's session. Para algunos dispositivos NAS Iomega, Lenovo y LenovoEMC en versiones 4.1.402.34662 y anteriores, al establecer la cookie Iomega a un valor conocido antes de iniciar sesión en la aplicación web de NAS, ésta no proporcionará al usuario un nuevo valor de cookie. Esto permite que un atacante que conozca el valor de la cookie comprometa la sesión del usuario. • https://support.lenovo.com/us/en/solutions/LEN-24224 • CWE-287: Improper Authentication •
CVSS: 8.8EPSS: 0%CPEs: 42EXPL: 0CVE-2018-9078 – Iomega and LenovoEMC NAS Web UI Vulnerabilities
https://notcve.org/view.php?id=CVE-2018-9078
For some Iomega, Lenovo, LenovoEMC NAS devices versions 4.1.402.34662 and earlier, the Content Explorer application grants users the ability to upload files to shares and this image was rendered in the browser in the device's origin instead of prompting to download the asset. The application does not prevent the user from uploading SVG images and returns these images within their origin. As a result, malicious users can upload SVG images that contain arbitrary JavaScript that is evaluated when the victim issues a request to download the file. Para algunos dispositivos NAS Iomega, Lenovo y LenovoEMC en versiones 4.1.402.34662 y anteriores, la aplicación Content Explorer otorga a los usuarios la capacidad de subir archivos a almacenes y esta imagen fue renderizada en el navegador en el origen del dispositivo en lugar de solicitar descargar el activo. La aplicación no evita que el usuario suba imágenes SVG y las devuelve a su origen. • https://support.lenovo.com/us/en/solutions/LEN-24224 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 5.3EPSS: 0%CPEs: 11EXPL: 0CVE-2015-8108
https://notcve.org/view.php?id=CVE-2015-8108
The management interface in LenovoEMC EZ Media & Backup (hm3), ix2/ix2-dl, ix4-300d, px12-400r/450r, px6-300d, px2-300d, px4-300r, px4-400d, px4-400r, and px4-300d NAS devices with firmware before 4.1.204.33661 allows remote attackers to obtain sensitive device information via unspecified vectors. La interfaz de gestión en dispositivos NAS LenovoEMC EZ Media & Backup (hm3), ix2/ix2-dl, ix4-300d, px12-400r/450r, px6-300d, px2-300d, px4-300r, px4-400d, px4-400r y px4-300d con firmware en versiones anteriores a 4.1.204.33661 permite a atacantes remotos obtener información sensible del dispositivo a través de vectores no especificados. • https://support.lenovo.com/us/en/product_security/len_3846 • CWE-254: 7PK - Security Features •