CVSS: 6.1EPSS: 0%CPEs: 1EXPL: 2CVE-2021-3014
https://notcve.org/view.php?id=CVE-2021-3014
In MikroTik RouterOS through 2021-01-04, the hotspot login page is vulnerable to reflected XSS via the target parameter. En MikroTik RouterOS hasta el 01-04-2021, la página de inicio de sesión del hotspot es vulnerable a un ataque de tipo XSS reflejado por medio del parámetro objetivo. • https://github.com/M4DM0e/m4dm0e.github.io/blob/gh-pages/_posts/2021-01-04-mikrotik-xss-reflected.md https://m4dm0e.github.io/2021/01/04/mikrotik-xss-reflected.html • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 7.5EPSS: 0%CPEs: 4EXPL: 1CVE-2020-11881
https://notcve.org/view.php?id=CVE-2020-11881
An array index error in MikroTik RouterOS 6.41.3 through 6.46.5, and 7.x through 7.0 Beta5, allows an unauthenticated remote attacker to crash the SMB server via modified setup-request packets, aka SUP-12964. Un error de índice de matriz en MikroTik RouterOS versiones 6.41.3 hasta 6.46.5, y versiones 7.x hasta 7.0 Beta5, permite a un atacante no autenticado remoto bloquear el servidor SMB por medio de paquetes de petición de configuración modificados, también se conoce como SUP-12964 • https://github.com/botlabsDev/CVE-2020-11881 https://mikrotik.com • CWE-129: Improper Validation of Array Index •
CVSS: 5.9EPSS: 0%CPEs: 2EXPL: 1CVE-2017-6297
https://notcve.org/view.php?id=CVE-2017-6297
The L2TP Client in MikroTik RouterOS versions 6.83.3 and 6.37.4 does not enable IPsec encryption after a reboot, which allows man-in-the-middle attackers to view transmitted data unencrypted and gain access to networks on the L2TP server by monitoring the packets for the transmitted data and obtaining the L2TP secret. El Cliente L2TP en MikroTik RouterOS versiones 6.83.3 y 6.37.4 no habilita el cifrado IPsec después de un reinicio, lo que permite a atacantes man-in-the-middle ver los datos transmitidos sin cifrar y obtener acceso a las redes en el servidor L2TP monitorizando los paquetes para los datos transmitidos y obtener el secreto L2TP. • http://www.securityfocus.com/bid/96447 https://blog.milne.it/2017/02/24/mikrotik-routeros-security-vulnerability-l2tp-tunnel-unencrypted-cve-2017-6297 • CWE-311: Missing Encryption of Sensitive Data •