CVSS: 9.8EPSS: 0%CPEs: 2EXPL: 1CVE-2019-13276
https://notcve.org/view.php?id=CVE-2019-13276
TRENDnet TEW-827DRU with firmware up to and including 2.04B03 contains a stack-based buffer overflow in the ssi binary. The overflow allows an unauthenticated user to execute arbitrary code by providing a sufficiently long query string when POSTing to any valid cgi, txt, asp, or js file. The vulnerability can be exercised on the local intranet or remotely if remote administration is enabled. El dispositivo TEW-827DRU hasta la versión de firmware 2.04B03 e incluida de TRENDnet, contiene un desbordamiento de búfer en la región stack de la memoria en el binario ssi. El desbordamiento permite a un usuario no identificado ejecutar código arbitrario proporcionando una cadena de consulta suficientemente larga durante el POSTing de cualquier archivo cgi, txt, asp o js válido. • https://github.com/fuzzywalls/TRENDNetExploits/tree/master/CVE-2019-13276 • CWE-787: Out-of-bounds Write •
CVSS: 7.5EPSS: 0%CPEs: 2EXPL: 1CVE-2019-13277
https://notcve.org/view.php?id=CVE-2019-13277
TRENDnet TEW-827DRU with firmware up to and including 2.04B03 allows an unauthenticated attacker to execute setup wizard functionality, giving this attacker the ability to change configuration values, potentially leading to a denial of service. The request can be made on the local intranet or remotely if remote administration is enabled. El dispositivo TEW-827DRU con firmware hasta 2.04B03 e incluido de TRENDnet, permite a un atacante no identificado ejecutar la funcionalidad del asistente de configuración, lo que ofrece la capacidad de cambiar los valores de configuración, conllevando potencialmente a una denegación de servicio. La petición puede ser realizada en la intranet local o remotamente si la administración remota está habilitada. • https://github.com/fuzzywalls/TRENDNetExploits/tree/master/CVE-2019-13277 •
CVSS: 8.8EPSS: 0%CPEs: 2EXPL: 1CVE-2019-13280
https://notcve.org/view.php?id=CVE-2019-13280
TRENDnet TEW-827DRU with firmware up to and including 2.04B03 contains a stack-based buffer overflow while returning an error message to the user about failure to resolve a hostname during a ping or traceroute attempt. This allows an authenticated user to execute arbitrary code. The exploit can be exercised on the local intranet or remotely if remote administration is enabled. El dispositivo TEW-827DRU con firmware hasta 2.04B03 e incluido de TRENDnet, contiene un desbordamiento de búfer en la región stack de la memoria mientras se devuelve un mensaje de error al usuario sobre el fallo para resolver un nombre de host durante un intento ping o traceroute. Esto permite a un usuario identificado ejecutar código arbitrario. • https://github.com/fuzzywalls/TRENDNetExploits/tree/master/CVE-2019-13280 • CWE-787: Out-of-bounds Write •
CVSS: 8.8EPSS: 0%CPEs: 2EXPL: 0CVE-2019-13155
https://notcve.org/view.php?id=CVE-2019-13155
An issue was discovered in TRENDnet TEW-827DRU firmware before 2.05B11. There is a command injection in apply.cgi (exploitable with authentication) via the IP Address in Add Virtual Server. Se detectó un problema en el firmware TEW-827DRU anterior a versión 2.05B11 de TRENDnet. Se presenta una inyección de comandos en el archivo apply.cgi (explotable con autenticación) por medio de la dirección IP en Add Virtual Server. • https://github.com/TeamSeri0us/pocs/blob/master/iot/trendnet/cmdinject45.jpg • CWE-78: Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection') •
CVSS: 8.8EPSS: 0%CPEs: 2EXPL: 0CVE-2019-13154
https://notcve.org/view.php?id=CVE-2019-13154
An issue was discovered in TRENDnet TEW-827DRU firmware before 2.05B11. There is a command injection in apply.cgi (exploitable with authentication) via the TCP Ports To Open in Add Gaming Rule. Se detectó un problema en el firmware TEW-827DRU anterior a versión 2.05B11 de TRENDnet. Se presenta una inyección de comandos en el archivo apply.cgi (explotable con autenticación) por medio de los puertos TCP para abrir en Add Gaming Rule. • https://github.com/TeamSeri0us/pocs/blob/master/iot/trendnet/cmdinject678.jpg • CWE-78: Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection') •