CVSS: 6.5EPSS: 0%CPEs: 1EXPL: 0CVE-2020-13416
https://notcve.org/view.php?id=CVE-2020-13416
An issue was discovered in Aviatrix Controller before 5.4.1066. A Controller Web Interface session token parameter is not required on an API call, which opens the application up to a Cross Site Request Forgery (CSRF) vulnerability for password resets. Se detectó un problema en Aviatrix Controller versiones anteriores a 5.4.1066. No es requerido un parámetro session token de Controller Web Interface en una llamada API, lo que abre la aplicación a una vulnerabilidad de tipo Cross Site Request Forgery (CSRF) para restablecimientos de contraseña. • https://docs.aviatrix.com/HowTos/security_bulletin_article.html#csrf-on-password-reset • CWE-352: Cross-Site Request Forgery (CSRF) •
CVSS: 9.8EPSS: 0%CPEs: 6EXPL: 1CVE-2020-13417
https://notcve.org/view.php?id=CVE-2020-13417
An Elevation of Privilege issue was discovered in Aviatrix VPN Client before 2.10.7, because of an incomplete fix for CVE-2020-7224. This affects Linux, macOS, and Windows installations for certain OpenSSL parameters. Se detectó un problema de Elevación de Privilegios en Aviatrix VPN Client versiones anteriores a 2.10.7, debido a una corrección incompleta para CVE-2020-7224. Esto afecta las instalaciones de Linux, macOS y Windows para determinados parámetros OpenSSL. • https://docs.aviatrix.com/HowTos/security_bulletin_article.html#openvpn-client-elevation-of-privilege https://www.criticalstart.com/multiple-vulnerabilities-discovered-in-aviatrix •
CVSS: 9.8EPSS: 0%CPEs: 1EXPL: 0CVE-2020-7224
https://notcve.org/view.php?id=CVE-2020-7224
The Aviatrix OpenVPN client through 2.5.7 on Linux, macOS, and Windows is vulnerable when OpenSSL parameters are altered from the issued value set; the parameters could allow unauthorized third-party libraries to load. El cliente Aviatrix OpenVPN versiones hasta 2.5.7 en Linux, macOS y Windows, es vulnerable cuando los parámetros OpenSSL son alterados a partir de un conjunto de valores emitidos; los parámetros podrían permitir que se carguen bibliotecas de terceros no autorizadas. • https://docs.aviatrix.com/#security-bulletin https://docs.aviatrix.com/HowTos/security_bulletin_article.html https://docs.aviatrix.com/HowTos/security_bulletin_article.html#article-avxsb-00001 •
CVSS: 7.8EPSS: 0%CPEs: 4EXPL: 1CVE-2019-17388
https://notcve.org/view.php?id=CVE-2019-17388
Weak file permissions applied to the Aviatrix VPN Client through 2.2.10 installation directory on Windows and Linux allow a local attacker to execute arbitrary code by gaining elevated privileges through file modifications. Unos permisos de archivos débiles aplicados al directorio de instalación de Aviatrix VPN Client versiones hasta 2.2.10 sobre Windows y Linux, permiten a un atacante local ejecutar código arbitrario al conseguir privilegios elevados por medio de modificaciones de archivos. • https://docs.aviatrix.com/HowTos/UCC_Release_Notes.html https://immersivelabs.com/2019/12/04/aviatrix-vpn-client-vulnerability https://immersivelabs.com/blog • CWE-732: Incorrect Permission Assignment for Critical Resource •
CVSS: 7.8EPSS: 0%CPEs: 4EXPL: 1CVE-2019-17387
https://notcve.org/view.php?id=CVE-2019-17387
An authentication flaw in the AVPNC_RP service in Aviatrix VPN Client through 2.2.10 allows an attacker to gain elevated privileges through arbitrary code execution on Windows, Linux, and macOS. Un fallo de autenticación en el servicio AVPNC_RP en Aviatrix VPN Client versiones hasta 2.2.10, permite a un atacante conseguir privilegios elevados mediante una ejecución de código arbitrario sobre Windows, Linux y macOS. • https://docs.aviatrix.com/HowTos/UCC_Release_Notes.html https://immersivelabs.com/2019/12/04/aviatrix-vpn-client-vulnerability https://immersivelabs.com/blog •