CVSS: 6.1EPSS: 0%CPEs: 1EXPL: 2CVE-2018-19386
https://notcve.org/view.php?id=CVE-2018-19386
SolarWinds Database Performance Analyzer 11.1.457 contains an instance of Reflected XSS in its idcStateError component, where the page parameter is reflected into the HREF of the 'Try Again' Button on the page, aka a /iwc/idcStateError.iwc?page= URI. SolarWinds Database Performance Analyzer versión 11.1.457, contiene una instancia de vulnerabilidad XSS Reflejado en su componente idcStateError, donde el parámetro page es reflejado en el HREF del Botón "Try Again" sobre la página, también se conoce como un URI /iwc/idcStateError.iwc?page=. • https://i.imgur.com/Y7t2AD6.png https://medium.com/greenwolf-security/reflected-xss-in-solarwinds-database-performance-analyzer-988bd7a5cd5 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 8.8EPSS: 0%CPEs: 1EXPL: 0CVE-2018-13442
https://notcve.org/view.php?id=CVE-2018-13442
SolarWinds Network Performance Monitor 12.3 allows SQL Injection via the /api/ActiveAlertsOnThisEntity/GetActiveAlerts TriggeringObjectEntityNames parameter. Network Performance Monitor versión 12.3 de SolarWinds, permite la inyección SQL por medio del parámetro TriggeringObjectEntityNames del archivo /api/ActiveAlertsOnThisEntity/GetActiveAlerts. • https://labs.nettitude.com/blog/cve-2018-13442-solarwinds-npm-sql-injection • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •
CVSS: 8.8EPSS: 12%CPEs: 2EXPL: 6CVE-2019-12181 – Serv-U FTP Server < 15.1.7 - Local Privilege Escalation
https://notcve.org/view.php?id=CVE-2019-12181
A privilege escalation vulnerability exists in SolarWinds Serv-U before 15.1.7 for Linux. Existe una vulnerabilidad de escalado de privilegios en SolarWinds Serv-U en versiones anteriores a la 15.1.7 para Linux. Serv-U FTP Server version 15.1.6 suffers from a local privilege escalation vulnerability. • https://www.exploit-db.com/exploits/47009 https://www.exploit-db.com/exploits/47072 https://www.exploit-db.com/exploits/47173 https://github.com/mavlevin/CVE-2019-12181 http://packetstormsecurity.com/files/153333/Serv-U-FTP-Server-15.1.6-Privilege-Escalation.html http://packetstormsecurity.com/files/153505/Serv-U-FTP-Server-prepareinstallation-Privilege-Escalation.html https://blog.vastart.dev/2019/06/cve-2019-12181-serv-u-exploit-writeup.html https://documentation.solarwinds.com/en/success_c • CWE-78: Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection') •
CVSS: 7.4EPSS: 0%CPEs: 1EXPL: 1CVE-2019-3957
https://notcve.org/view.php?id=CVE-2019-3957
Dameware Remote Mini Control version 12.1.0.34 and prior contains an unauthenticated remote buffer over-read due to the server not properly validating RsaSignatureLen during key negotiation, which could crash the application or leak sensitive information. Dameware Remote Mini Control versión 12.1.0.34 y anteriores, contiene una sobreimpresión de búfer remoto no autenticado debido a que el servidor no está comprobando correctamente RsaSignatureLen durante la negociación de claves, lo que podría bloquear la aplicación o filtrar información confidencial. • https://www.tenable.com/security/research/tra-2019-26 • CWE-20: Improper Input Validation CWE-125: Out-of-bounds Read •
CVSS: 7.8EPSS: 0%CPEs: 1EXPL: 0CVE-2018-19999 – Serv-U FTP Server 15.1.6.25 Local Privilege Escalation
https://notcve.org/view.php?id=CVE-2018-19999
The local management interface in SolarWinds Serv-U FTP Server 15.1.6.25 has incorrect access controls that permit local users to bypass authentication in the application and execute code in the context of the Windows SYSTEM account, leading to privilege escalation. To exploit this vulnerability, an attacker must have local access the the host running Serv-U, and a Serv-U administrator have an active management console session. La interfaz de administración local en SolarWinds Serv-U FTP Server versión 15.1.6.25, presenta controles de acceso incorrectos que permiten a los usuarios locales omitir la autenticación en la aplicación y ejecutar código en el contexto de la cuenta SYSTEM de Windows, lo que conlleva a la escalada de privilegios. Para explotar esta vulnerabilidad, un atacante debe tener acceso local al host que ejecuta Serv-U, y un administrador de Serv-U presenta una sesión de consola administrativa activa. Serv-U FTP Server version 15.1.6.25 suffers from a local privilege escalation vulnerability via authentication bypass. • https://seclists.org/fulldisclosure/2019/May/46 https://www.themissinglink.com.au/security-advisories-cve-2018-19999 • CWE-287: Improper Authentication •