CVSS: 6.5EPSS: 0%CPEs: 1EXPL: 0CVE-2018-1249 – iDRAC9 versions prior to 3.21.21.21 did not enforce the use of TLS/SSL for a connection to iDRAC web server for certain URLs
https://notcve.org/view.php?id=CVE-2018-1249
Dell EMC iDRAC9 versions prior to 3.21.21.21 did not enforce the use of TLS/SSL for a connection to iDRAC web server for certain URLs. A man-in-the-middle attacker could use this vulnerability to strip the SSL/TLS protection from a connection between a client and a server. Dell EMC iDRAC9 en versiones anteriores a la 3.21.21.21 no forzó el uso de TLS/SSL para conectarse al servidor web de iDRAC para ciertas URL. Un atacante Man-in-the-Middle (MitM) podría emplear esta vulnerabilidad para eliminar la protección SSL/TLS de una conexión entre un cliente y un servidor. • http://en.community.dell.com/techcenter/extras/m/white_papers/20487494 •
CVSS: 8.8EPSS: 0%CPEs: 3EXPL: 0CVE-2018-1244 – iDRAC7/iDRAC8/iDrac9 contains a command injection vulnerability in the SNMP agent.
https://notcve.org/view.php?id=CVE-2018-1244
Dell EMC iDRAC7/iDRAC8, versions prior to 2.60.60.60, and iDRAC9 versions prior to 3.21.21.21 contain a command injection vulnerability in the SNMP agent. A remote authenticated malicious iDRAC user with configuration privileges could potentially exploit this vulnerability to execute arbitrary commands on the iDRAC where SNMP alerting is enabled. Dell EMC iDRAC7/iDRAC8, en versiones anteriores a la 2.60.60.60, y iDRAC9 en versiones anteriores a la 3.21.21.21, contienen una vulnerabilidad de inyección de comandos en el agente SNMP. Un usuario iDRAC autenticado remoto con privilegios de configuración podría explotar esta vulnerabilidad para ejecutar comandos arbitrarios en el iDRAC donde las alertas SNMP están habilitadas. • http://en.community.dell.com/techcenter/extras/m/white_papers/20487494 http://www.securityfocus.com/bid/104964 • CWE-77: Improper Neutralization of Special Elements used in a Command ('Command Injection') •