CVSS: 8.5EPSS: 90%CPEs: 3EXPL: 5CVE-2019-19356 – Netis WF2419 Devices Remote Code Execution Vulnerability
https://notcve.org/view.php?id=CVE-2019-19356
07 Feb 2020 — Netis WF2419 is vulnerable to authenticated Remote Code Execution (RCE) as root through the router Web management page. The vulnerability has been found in firmware version V1.2.31805 and V2.2.36123. After one is connected to this page, it is possible to execute system commands as root through the tracert diagnostic tool because of lack of user input sanitizing. Netis WF2419 es vulnerable a la Ejecución de Código Remota (RCE) autenticada como root por medio de la página de administración Web del enrutador. ... • https://packetstorm.news/files/id/156588 • CWE-78: Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection') •
CVSS: 6.1EPSS: 0%CPEs: 2EXPL: 3CVE-2019-20070
https://notcve.org/view.php?id=CVE-2019-20070
29 Dec 2019 — On Netis DL4323 devices, XSS exists via the urlFQDN parameter to form2url.cgi (aka the Keyword field of the URL Blocking Configuration). En los dispositivos Netis DL4323, existe una vulnerabilidad de tipo XSS por medio del parámetro urlFQDN en el archivo form2url.cgi (también se conoce como el campo Keyword del URL Blocking Configuration). • https://drive.google.com/open?id=1EtpCu6eZ0Hf2J70zg59wIlhUE8_bx1HE • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 6.5EPSS: 0%CPEs: 2EXPL: 3CVE-2019-20071
https://notcve.org/view.php?id=CVE-2019-20071
29 Dec 2019 — On Netis DL4323 devices, CSRF exists via form2logaction.cgi to delete all logs. En los dispositivos Netis DL4323, existe una vulnerabilidad de tipo CSRF por medio del archivo form2logaction.cgi para eliminar todos los registros. • https://drive.google.com/open?id=1XtSsH-1ApxRS7VExubz8zBEyENVQGhUc • CWE-352: Cross-Site Request Forgery (CSRF) •
CVSS: 6.1EPSS: 0%CPEs: 2EXPL: 3CVE-2019-20072
https://notcve.org/view.php?id=CVE-2019-20072
29 Dec 2019 — On Netis DL4323 devices, XSS exists via the form2Ddns.cgi hostname parameter (Dynamic DNS Configuration). En los dispositivos Netis DL4323, Existe una vulnerabilidad de tipo XSS por medio del parámetro hostname del archivo form2Ddns.cgi (Configuración dinámica de DNS). • https://drive.google.com/open?id=1IGRYVci8fxic0jJJb-pAfAK1kJ4V2yGM • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 6.1EPSS: 0%CPEs: 2EXPL: 3CVE-2019-20073
https://notcve.org/view.php?id=CVE-2019-20073
29 Dec 2019 — On Netis DL4323 devices, XSS exists via the form2userconfig.cgi username parameter (User Account Configuration). En los dispositivos Netis DL4323, existe una vulnerabilidad de tipo XSS por medio del parámetro username del archivo form2userconfig.cgi (User Account Configuration). • https://drive.google.com/open?id=1CxLrSKAczEZpm_7FERIrCGGJAs2mp6Go • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 8.8EPSS: 0%CPEs: 2EXPL: 0CVE-2019-20074
https://notcve.org/view.php?id=CVE-2019-20074
29 Dec 2019 — On Netis DL4323 devices, any user role can view sensitive information, such as a user password or the FTP password, via the form2saveConf.cgi page. En los dispositivos Netis DL4323, cualquier rol de usuario puede visualizar información confidencial, tal y como una contraseña de usuario o la contraseña de FTP, por medio de la página form2saveConf.cgi. • https://drive.google.com/open?id=1MH6DMhP1JsV_RptGXDze0Vo9MDuCH9se • CWE-269: Improper Privilege Management •
CVSS: 6.1EPSS: 0%CPEs: 2EXPL: 3CVE-2019-20075
https://notcve.org/view.php?id=CVE-2019-20075
29 Dec 2019 — On Netis DL4323 devices, pingrtt_v6.html has XSS (Ping6 Diagnostic). En los dispositivos Netis DL4323, el archivo pingrtt_v6.html presenta una vulnerabilidad de tipo XSS • https://drive.google.com/open?id=1795_joGaL3QXMFeJoJPiNgB_d913XePx • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 6.1EPSS: 0%CPEs: 2EXPL: 3CVE-2019-20076
https://notcve.org/view.php?id=CVE-2019-20076
29 Dec 2019 — On Netis DL4323 devices, XSS exists via the form2Ddns.cgi username parameter (DynDns settings of the Dynamic DNS Configuration). En los dispositivos Netis DL4323, existe una vulnerabilidad de tipo XSS por medio del parámetro username del archivo form2Ddns.cgi (configuración DynDns de la configuración dinámica de DNS). • https://drive.google.com/open?id=1HrYqVKlSxhQqB5tNhhLIgpyfi0Y2ZL80 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 9.8EPSS: 71%CPEs: 4EXPL: 2CVE-2019-8985
https://notcve.org/view.php?id=CVE-2019-8985
21 Feb 2019 — On Netis WF2411 with firmware 2.1.36123 and other Netis WF2xxx devices (possibly WF2411 through WF2880), there is a stack-based buffer overflow that does not require authentication. This can cause denial of service (device restart) or remote code execution. This vulnerability can be triggered by a GET request with a long HTTP "Authorization: Basic" header that is mishandled by user_auth->user_ok in /bin/boa. En Netis WF211, con la versión de firmware 2.1.36123, y otros dispositivos de Netis (posiblemente de... • https://github.com/Squirre17/CVE-2019-8985 • CWE-306: Missing Authentication for Critical Function CWE-787: Out-of-bounds Write •
CVSS: 8.8EPSS: 0%CPEs: 2EXPL: 3CVE-2018-6391
https://notcve.org/view.php?id=CVE-2018-6391
29 Jan 2018 — A cross-site request forgery web vulnerability has been discovered on Netis WF2419 V2.2.36123 devices. A remote attacker is able to delete Address Reservation List settings. Se ha descubierto una vulnerabilidad web de Cross-Site Request Forgery (CSRF) en dispositivos Netis WF2419 V2.2.36123. Un atacante remoto puede eliminar opciones de Address Reservation List. • https://0day.today/exploit/29659 • CWE-352: Cross-Site Request Forgery (CSRF) •