CVSS: 7.5EPSS: 0%CPEs: 14EXPL: 1CVE-2019-15910
https://notcve.org/view.php?id=CVE-2019-15910
An issue was discovered on ASUS HG100, MW100, WS-101, TS-101, AS-101, MS-101, DL-101 devices using ZigBee PRO. Attackers can utilize the "discover ZigBee network procedure" to perform a denial of service attack. Se descubrió un problema en los dispositivos ASUS HG100, MW100, WS-101, TS-101, AS-101, MS-101, DL-101 que usan ZigBee PRO. Los atacantes pueden utilizar el "procedimiento de descubrimiento de red ZigBee" para realizar un ataque de denegación de servicio. • https://github.com/chengcheng227/CVE-POC/blob/master/CVE-2019-15910.md • CWE-20: Improper Input Validation •
CVSS: 7.0EPSS: 0%CPEs: 2EXPL: 0CVE-2019-19235
https://notcve.org/view.php?id=CVE-2019-19235
AsLdrSrv.exe in ASUS ATK Package before V1.0.0061 (for Windows 10 notebook PCs) could lead to unsigned code execution with no additional execution. The user must put an application at a particular path, with a particular file name. El archivo AsLdrSrv.exe en el paquete ASUS ATK versiones anteriores a V1.0.0061 (para PC portátiles con Windows 10) podría conllevar a una ejecución de código sin firmar sin ejecución adicional. El usuario necesita colocar una aplicación en una ruta particular, con un nombre de archivo particular. • https://safebreach.com/blog https://www.asus.com/Static_WebPage/ASUS-Product-Security-Advisory https://www.asus.com/support/faq/1041545 • CWE-427: Uncontrolled Search Path Element •
CVSS: 9.8EPSS: 2%CPEs: 2EXPL: 1CVE-2018-8879
https://notcve.org/view.php?id=CVE-2018-8879
Stack-based buffer overflow in Asuswrt-Merlin firmware for ASUS devices older than 384.4 and ASUS firmware before 3.0.0.4.382.50470 for devices allows remote attackers to execute arbitrary code by providing a long string to the blocking.asp page via a GET or POST request. Vulnerable parameters are flag, mac, and cat_id. Un desbordamiento de búfer en la región stack de la memoria en el firmware Asuswrt-Merlin para dispositivos ASUS versiones anteriores a 384.4 y el firmware ASUS versiones anteriores a 3.0.0.4.382.50470 para dispositivos, permite a atacantes remotos ejecutar código arbitrario al proporcionar una cadena larga en la página block.asp por medio de una petición GET o POST. Los parámetros vulnerables son flag, mac y cat_id. • https://pagedout.institute/download/PagedOut_001_beta1.pdf https://www.asus.com/Networking/RTAC66U/HelpDesk_BIOS • CWE-787: Out-of-bounds Write •
CVSS: 7.8EPSS: 0%CPEs: 2EXPL: 0CVE-2019-15419
https://notcve.org/view.php?id=CVE-2019-15419
The Asus ASUS_X015_1 Android device with a build fingerprint of asus/CN_X015/ASUS_X015_1:7.0/NRD90M/CN_X015-14.00.1709.35-20171215:user/release-keys contains a pre-installed app with a package name of com.lovelyfont.defcontainer app (versionCode=5, versionName=5.0.1) that allows unauthorized command execution via a confused deputy attack. This capability can be accessed by any app co-located on the device. El dispositivo Asus ASUS_X015_1 Android con una huella digital de compilación de asus/CN_X015/ASUS_X015_1:7.0/NRD90M/CN_X015-14.00.1709.35-20171215:user/release-keys, contiene una aplicación preinstalada con un nombre de paquete de aplicación com.lovelyfont.defcontainer (versionCode=5, versionName=5.0.1), que permite una ejecución de comandos no autorizada por medio de un ataque de tipo confused deputy. Esta capacidad puede ser accedida mediante cualquier aplicación ubicada en el dispositivo. • https://www.kryptowire.com/android-firmware-2019 • CWE-610: Externally Controlled Reference to a Resource in Another Sphere •
CVSS: 7.8EPSS: 0%CPEs: 4EXPL: 0CVE-2019-15418
https://notcve.org/view.php?id=CVE-2019-15418
The Asus ASUS_X00K_1 Android device with a build fingerprint of asus/CN_X00K/ASUS_X00K_1:7.0/NRD90M/CN_X00K-14.01.1711.27-20180420:user/release-keys contains a pre-installed app with a package name of com.lovelyfont.defcontainer app (versionCode=5, versionName=5.0.1) that allows unauthorized command execution via a confused deputy attack. This capability can be accessed by any app co-located on the device. El dispositivo Asus ASUS_X00K_1 Android con una huella digital de asus/CN_X00K/ASUS_X00K_1:7.0/NRD90M/CN_X00K-14.01.1711.27-20180420:user/release-keys, contiene una aplicación preinstalada con un nombre de paquete de aplicación com.lovelyfont.defcontainer (versionCode=5, versionName=5.0.1), que permite una ejecución de comandos no autorizada por medio de un ataque de tipo confused deputy. Esta capacidad puede ser accedida mediante cualquier aplicación ubicada en el dispositivo. • https://www.kryptowire.com/android-firmware-2019 • CWE-610: Externally Controlled Reference to a Resource in Another Sphere •