CVSS: 9.3EPSS: 0%CPEs: 1EXPL: 1CVE-2020-13537
https://notcve.org/view.php?id=CVE-2020-13537
An exploitable local privilege elevation vulnerability exists in the file system permissions of Moxa MXView series 3.1.8 installation. Depending on the vector chosen, an attacker can either add code to a script or replace a binary.By default MXViewService, which starts as a NT SYSTEM authority user executes a series of Node.Js scripts to start additional application functionality and among them the mosquitto executable is also run. Se presenta una vulnerabilidad de elevación de privilegios local explotable en los permisos del sistema de archivos de la instalación de Moxa MXView series versión 3.1.8. Dependiendo del vector elegido, un atacante puede agregar código a un script o reemplazar un binario. Por defecto, MXViewService, que comienza como un usuario de autoridad NT SYSTEM ejecuta una serie de scripts de Node.Js para iniciar la funcionalidad adicional de la aplicación y, entre ellos, el mosquitto ejecutable también se ejecuta • https://talosintelligence.com/vulnerability_reports/TALOS-2020-1148 • CWE-276: Incorrect Default Permissions •
CVSS: 9.3EPSS: 0%CPEs: 1EXPL: 1CVE-2020-13536
https://notcve.org/view.php?id=CVE-2020-13536
An exploitable local privilege elevation vulnerability exists in the file system permissions of Moxa MXView series 3.1.8 installation. Depending on the vector chosen, an attacker can either add code to a script or replace a binary. By default MXViewService, which starts as a NT SYSTEM authority user executes a series of Node.Js scripts to start additional application functionality. Se presenta una vulnerabilidad de elevación de privilegios local explotable en los permisos del sistema de archivos de la instalación de Moxa MXView series versión 3.1.8. Dependiendo del vector elegido, un atacante puede agregar código a un script o reemplazar un binario. • https://talosintelligence.com/vulnerability_reports/TALOS-2020-1148 • CWE-276: Incorrect Default Permissions •
CVSS: 7.5EPSS: 0%CPEs: 1EXPL: 0CVE-2018-7506
https://notcve.org/view.php?id=CVE-2018-7506
The private key of the web server in Moxa MXview versions 2.8 and prior is able to be read and accessed via an HTTP GET request, which may allow a remote attacker to decrypt encrypted information. Se puede acceder a la clave privada del servidor web en Moxa MXview, en versiones 2.8 y anteriores, mediante una petición HTTP GET. Esto podría permitir que un atacante remoto descifre información cifrada. • http://www.securityfocus.com/bid/103722 https://ics-cert.us-cert.gov/advisories/ICSA-18-095-02 • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •
CVSS: 7.8EPSS: 0%CPEs: 1EXPL: 0CVE-2017-14030
https://notcve.org/view.php?id=CVE-2017-14030
An issue was discovered in Moxa MXview v2.8 and prior. The unquoted service path escalation vulnerability could allow an authorized user with file access to escalate privileges by inserting arbitrary code into the unquoted service path. Se ha descubierto un problema en Moxa MXview v2.8 y anteriores. La vulnerabilidad de escalado de ruta de servicio sin entrecomillar podría permitir que un usuario autorizado con acceso de archivo escale privilegios insertando código arbitrario en la ruta del servicio sin entrecomillar. • http://www.securityfocus.com/bid/102494 https://ics-cert.us-cert.gov/advisories/ICSA-18-011-02 • CWE-428: Unquoted Search Path or Element •
CVSS: 7.5EPSS: 13%CPEs: 1EXPL: 3CVE-2017-7456 – Moxa MXview 2.8 - Denial of Service
https://notcve.org/view.php?id=CVE-2017-7456
Moxa MXView 2.8 allows remote attackers to cause a Denial of Service by sending overly long junk payload for the MXView client login credentials. Moxa MXView 2.8 permite a los atacantes remotos provocar una denegación de servicio mediante el envío excesivo de carga útil basura para las credenciales de inicio de sesión del cliente MXView. Moxa MXView version 2.8 suffers from a denial of service vulnerability. • https://www.exploit-db.com/exploits/41851 http://hyp3rlinx.altervista.org/advisories/MOXA-MXVIEW-v2.8-DENIAL-OF-SERVICE.txt http://seclists.org/fulldisclosure/2017/Apr/50 • CWE-20: Improper Input Validation •