CVSS: 7.2EPSS: 0%CPEs: 2EXPL: 0CVE-2023-41352 – Chunghwa Telecom NOKIA G-040W-Q - Command Injection
https://notcve.org/view.php?id=CVE-2023-41352
Chunghwa Telecom NOKIA G-040W-Q has a vulnerability of insufficient filtering for user input. A remote attacker with administrator privilege can exploit this vulnerability to perform a Command Injection attack to execute arbitrary commands, disrupt the system or terminate services. Chunghwa Telecom NOKIA G-040W-Q tiene una vulnerabilidad de filtrado insuficiente para la entrada del usuario. Un atacante remoto con privilegios de administrador puede aprovechar esta vulnerabilidad para realizar un ataque de inyección de comandos para ejecutar comandos arbitrarios, interrumpir el sistema o finalizar servicios. • https://www.twcert.org.tw/tw/cp-132-7502-287ec-1.html • CWE-78: Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection') •
CVSS: 9.8EPSS: 0%CPEs: 2EXPL: 0CVE-2023-41351 – Chunghwa Telecom NOKIA G-040W-Q - Broken Access Control
https://notcve.org/view.php?id=CVE-2023-41351
Chunghwa Telecom NOKIA G-040W-Q has a vulnerability of authentication bypass, which allows an unauthenticated remote attacker to bypass the authentication mechanism to log in to the device by an alternative URL. This makes it possible for unauthenticated remote attackers to log in as any existing users, such as an administrator, to perform arbitrary system operations or disrupt service. Chunghwa Telecom NOKIA G-040W-Q tiene una vulnerabilidad de omisión de autenticación, que permite a un atacante remoto no autenticado omitir el mecanismo de autenticación para iniciar sesión en el dispositivo mediante una URL alternativa. Esto hace posible que atacantes remotos no autenticados inicien sesión como cualquier usuario existente, como un administrador, para realizar operaciones arbitrarias en el sistema o interrumpir el servicio. • https://www.twcert.org.tw/tw/cp-132-7501-6155a-1.html • CWE-288: Authentication Bypass Using an Alternate Path or Channel CWE-306: Missing Authentication for Critical Function •
CVSS: 9.8EPSS: 0%CPEs: 2EXPL: 0CVE-2023-41350 – Chunghwa Telecom NOKIA G-040W-Q - Excessive Authentication Attempts
https://notcve.org/view.php?id=CVE-2023-41350
Chunghwa Telecom NOKIA G-040W-Q has a vulnerability of insufficient measures to prevent multiple failed authentication attempts. An unauthenticated remote attacker can execute a crafted Javascript to expose captcha in page, making it very easy for bots to bypass the captcha check and more susceptible to brute force attacks. Chunghwa Telecom NOKIA G-040W-Q tiene una vulnerabilidad de medidas insuficientes para evitar múltiples intentos fallidos de autenticación. Un atacante remoto no autenticado puede ejecutar un Javascript manipulado para exponer el captcha en la página, lo que hace que sea muy fácil para los bots omitir la verificación del captcha y hacerlos más susceptibles a ataques de fuerza bruta. • https://www.twcert.org.tw/tw/cp-132-7500-0c544-1.html • CWE-307: Improper Restriction of Excessive Authentication Attempts •
CVSS: 8.1EPSS: 0%CPEs: 12EXPL: 0CVE-2023-22618
https://notcve.org/view.php?id=CVE-2023-22618
If Security Hardening guide rules are not followed, then Nokia WaveLite products allow a local user to create new users with administrative privileges by manipulating a web request. This affects (for example) WaveLite Metro 200 and Fan, WaveLite Metro 200 OPS and Fans, WaveLite Metro 200 and F2B fans, WaveLite Metro 200 OPS and F2B fans, WaveLite Metro 200 NE and F2B fans, and WaveLite Metro 200 NE OPS and F2B fans. Si no se siguen las reglas de la guía de refuerzo de seguridad, los productos Nokia WaveLite permiten a un usuario local crear nuevos usuarios con privilegios administrativos mediante la manipulación de una solicitud web. Esto afecta (por ejemplo) a: WaveLite Metro 200 and Fan, WaveLite Metro 200 OPS and Fans, WaveLite Metro 200 and F2B fans, WaveLite Metro 200 OPS and F2B fans, WaveLite Metro 200 NE and F2B fans, y WaveLite Metro 200 NE OPS and F2B fans. • https://nokia.com https://www.nokia.com/about-us/security-and-privacy/product-security-advisory/cve-2023-22618 • CWE-284: Improper Access Control •
CVSS: 8.8EPSS: 0%CPEs: 1EXPL: 1CVE-2022-41763
https://notcve.org/view.php?id=CVE-2022-41763
An issue was discovered in NOKIA AMS 9.7.05. Remote Code Execution exists via the debugger of the ipAddress variable. A remote user, authenticated to the AMS server, could inject code in the PING function. The privileges of the command executed depend on the user that runs the service. Se ha descubierto un problema en NOKIA AMS v9.7.05. • https://www.gruppotim.it/it/footer/red-team.html • CWE-94: Improper Control of Generation of Code ('Code Injection') •