CVSS: 5.4EPSS: 0%CPEs: 2EXPL: 1CVE-2019-10634
https://notcve.org/view.php?id=CVE-2019-10634
An XSS vulnerability in the Zyxel NAS 326 version 5.21 and below allows a remote authenticated attacker to inject arbitrary JavaScript or HTML via the user, group, and file-share description fields. Una vulnerabilidad de tipo XSS en NAS 326 de Zyxel versión 5.21 y anteriores, permite que un atacante remoto identificado inyecte JavaScript o HTML arbitrario por medio de los campos de descripción de usuario, grupo y recurso compartido de archivos. • http://maxwelldulin.com/BlogPost?post=3236967424 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 8.8EPSS: 0%CPEs: 2EXPL: 1CVE-2019-10633
https://notcve.org/view.php?id=CVE-2019-10633
An eval injection vulnerability in the Python web server routing on the Zyxel NAS 326 version 5.21 and below allows a remote authenticated attacker to execute arbitrary code via the tjp6jp6y4, simZysh, and ck6fup6 APIs. Una vulnerabilidad de inyección eval en el enrutamiento del servidor web de Python en el NAS 326 de Zyxel versión 5.21 y anteriores, permite que un atacante autenticado remoto ejecute un código arbitrario por medio de las API tjp6jp6y4, simZysh y ck6fup6. • http://maxwelldulin.com/BlogPost?post=3236967424 • CWE-94: Improper Control of Generation of Code ('Code Injection') •
CVSS: 6.5EPSS: 0%CPEs: 2EXPL: 1CVE-2019-10632
https://notcve.org/view.php?id=CVE-2019-10632
A directory traversal vulnerability in the file browser component on the Zyxel NAS 326 version 5.21 and below allows a lower privileged user to change the location of any other user's files. Una vulnerabilidad de salto de directorio en el componente file browser en el NAS 326 de Zyxel versión 5.21 o anterior, permite a un usuario con privilegios bajos cambiar la ubicación de los archivos de cualquier otro usuario. • http://maxwelldulin.com/BlogPost?post=3236967424 • CWE-22: Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') •
CVSS: 8.8EPSS: 0%CPEs: 2EXPL: 1CVE-2019-10631
https://notcve.org/view.php?id=CVE-2019-10631
Shell Metacharacter Injection in the package installer on Zyxel NAS 326 version 5.21 and below allows an authenticated attacker to execute arbitrary code via multiple different requests. La inyección de metacaracteres shell en el instalador de paquetes en NAS 326 de Zyxel versión 5.21 y anteriores, permite que un atacante autenticado ejecute código arbitrario por medio de múltiples peticiones diferentes. • http://maxwelldulin.com/BlogPost?post=3236967424 • CWE-78: Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection') •
CVSS: 8.8EPSS: 0%CPEs: 2EXPL: 1CVE-2019-10630
https://notcve.org/view.php?id=CVE-2019-10630
A plaintext password vulnerability in the Zyxel NAS 326 through 5.21 allows an elevated privileged user to get the admin password of the device. Una vulnerabilidad de contraseña de texto plano en el NAS 326 de Zyxel hasta 5.21, permite a un usuario con privilegios elevados obtener la contraseña de administrador del dispositivo. • http://maxwelldulin.com/BlogPost?post=3236967424 • CWE-522: Insufficiently Protected Credentials •