CVSS: 10.0EPSS: 0%CPEs: 2EXPL: 2CVE-2019-11061 – HG100 has a broken access control vulnerability in its Web API Server
https://notcve.org/view.php?id=CVE-2019-11061
A broken access control vulnerability in HG100 firmware versions up to 4.00.06 allows an attacker in the same local area network to control IoT devices that connect with itself via http://[target]/smarthome/devicecontrol without any authentication. CVSS 3.0 base score 10 (Confidentiality, Integrity and Availability impacts). CVSS vector: (CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H). Una vulnerabilidad de control de acceso interrumpida en las versiones de firmware HG100 hasta 4.00.06 permite que un atacante en la misma red de área local controle dispositivos IoT que se conectan a sí mismos mediante http://[target]/smarthome/devicecontrol without any authentication. CVSS 3.0 Puntuación Base 10 (Impactos de Confidencialidad, Integridad y Disponibilidad). • http://surl.twcert.org.tw/5df6x https://github.com/tim124058/ASUS-SmartHome-Exploit https://tvn.twcert.org.tw/taiwanvn/TVN-201906003 • CWE-306: Missing Authentication for Critical Function •
CVSS: 9.1EPSS: 0%CPEs: 2EXPL: 1CVE-2017-17945
https://notcve.org/view.php?id=CVE-2017-17945
The ASUS HiVivo aspplication before 5.6.27 for ASUS Watch has Missing SSL Certificate Validation. La aplicación ASUS HiVivo anterior a versión 5.6.27 para ASUS Watch ha perdido la comprobación del certificado SSL. • http://firstsight.me/2017/12/lack-of-binary-protection-at-asus-vivo-baby-and-hivivo-for-android-that-could-result-of-several-security-issues • CWE-295: Improper Certificate Validation •
CVSS: 9.1EPSS: 0%CPEs: 2EXPL: 1CVE-2017-17944
https://notcve.org/view.php?id=CVE-2017-17944
The ASUS Vivobaby application before 1.1.09 for Android has Missing SSL Certificate Validation. La aplicación ASUS Vivobaby anterior a la versión 1.1.09 para Android ha perdido la validación del certificado SSL. • http://firstsight.me/2017/12/lack-of-binary-protection-at-asus-vivo-baby-and-hivivo-for-android-that-could-result-of-several-security-issues • CWE-295: Improper Certificate Validation •
CVSS: 10.0EPSS: 65%CPEs: 2EXPL: 4CVE-2018-14714 – ASUS RT-AC3200 3.0.0.4.382.50010 Command Injection
https://notcve.org/view.php?id=CVE-2018-14714
System command injection in appGet.cgi on ASUS RT-AC3200 version 3.0.0.4.382.50010 allows attackers to execute system commands via the "load_script" URL parameter. La inyección de comandos de sistema en appGet.cgi en ASUS RT-AC3200 versión 3.0.0.4.382.50010, permite a atacantes ejecutar comandos del sistema mediante el parámetro de URL "load_script". • https://github.com/BTtea/CVE-2018-14714-RCE_exploit https://github.com/tin-z/CVE-2018-14714-POC https://github.com/sunn1day/CVE-2018-14714-POC https://blog.securityevaluators.com/asus-routers-overflow-with-vulnerabilities-b111bc1c8eb8 •
CVSS: 8.1EPSS: 0%CPEs: 2EXPL: 1CVE-2018-14713
https://notcve.org/view.php?id=CVE-2018-14713
Format string vulnerability in appGet.cgi on ASUS RT-AC3200 version 3.0.0.4.382.50010 allows attackers to read arbitrary sections of memory and CPU registers via the "hook" URL parameter. La vulnerabilidad de cadena de formato en appGet.cgi en ASUS RT-AC3200 versión 3.0.0.4.382.50010, permite a los atacantes leer secciones arbitrarias de memoria y registros de la CPU mediante el parámetro URL "hook". • https://blog.securityevaluators.com/asus-routers-overflow-with-vulnerabilities-b111bc1c8eb8 • CWE-134: Use of Externally-Controlled Format String •