CVSS: 5.4EPSS: 0%CPEs: 50EXPL: 0CVE-2022-22511 – WAGO PLCs WBM vulnerable to reflected XSS
https://notcve.org/view.php?id=CVE-2022-22511
09 Mar 2022 — Various configuration pages of the device are vulnerable to reflected XSS (Cross-Site Scripting) attacks. An authorized attacker with user privileges may use this to gain access to confidential information on a PC that connects to the WBM after it has been compromised. Varias páginas de configuración del dispositivo son vulnerables a ataques de tipo XSS (Cross-Site Scripting) reflejados. Un atacante autorizado con privilegios de usuario puede usar esto para conseguir acceso a información confidencial en un ... • https://cert.vde.com/en/advisories/VDE-2022-004 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 7.8EPSS: 1%CPEs: 18EXPL: 0CVE-2021-34581 – WAGO: Denial of Service vulnerability inside the OpenSSL implementation
https://notcve.org/view.php?id=CVE-2021-34581
31 Aug 2021 — Missing Release of Resource after Effective Lifetime vulnerability in OpenSSL implementation of WAGO 750-831/xxx-xxx, 750-880/xxx-xxx, 750-881, 750-889 in versions FW4 up to FW15 allows an unauthenticated attacker to cause DoS on the device. Una vulnerabilidad de Falta de Liberación de Recursos después del Tiempo de Vida Efectivo en la implementación de OpenSSL de WAGO 750-831/xxx-xxx, 750-880/xxx-xxx, 750-881, 750-889 en versiones FW4 hasta FW15, permite a un atacante no autenticado causar DoS en el dispos... • https://cert.vde.com/en-us/advisories/vde-2021-038 • CWE-772: Missing Release of Resource after Effective Lifetime •
CVSS: 9.8EPSS: 0%CPEs: 24EXPL: 0CVE-2021-34578 – WAGO: Authentication Vulnerability in Web-Based Management
https://notcve.org/view.php?id=CVE-2021-34578
31 Aug 2021 — This vulnerability allows an attacker who has access to the WBM to read and write settings-parameters of the device by sending specifically constructed requests without authentication on multiple WAGO PLCs in firmware versions up to FW07. Esta vulnerabilidad permite a un atacante que tenga acceso al WBM leer y escribir parámetros de configuración del dispositivo mediante el envío de peticiones específicamente construidas sin autenticación en múltiples PLCs de WAGO en versiones del firmware hasta FW07 • https://cert.vde.com/en-us/advisories/vde-2020-044 • CWE-287: Improper Authentication •
CVSS: 9.1EPSS: 0%CPEs: 54EXPL: 0CVE-2021-21001 – WAGO: PFC200 Access to files outside the home directory
https://notcve.org/view.php?id=CVE-2021-21001
24 May 2021 — On WAGO PFC200 devices in different firmware versions with special crafted packets an authorised attacker with network access to the device can access the file system with higher privileges. En los dispositivos WAGO PFC200 en diferentes versiones de firmware con paquetes especiales diseñados, un atacante autorizado con acceso de red al dispositivo puede acceder al sistema de archivos con mayores privilegios • https://cert.vde.com/en-us/advisories/vde-2021-014 • CWE-22: Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') •
CVSS: 7.5EPSS: 0%CPEs: 54EXPL: 0CVE-2021-21000 – WAGO: PFC200 Denial of Service due to the number of connections to the runtime
https://notcve.org/view.php?id=CVE-2021-21000
24 May 2021 — On WAGO PFC200 devices in different firmware versions with special crafted packets an attacker with network access to the device could cause a denial of service for the login service of the runtime. En dispositivos WAGO PFC200 en diferentes versiones de firmware con paquetes especiales diseñados, un atacante con acceso de red al dispositivo podría causar una denegación de servicio para el servicio de inicio de sesión del tiempo de ejecución • https://cert.vde.com/en-us/advisories/vde-2021-014 • CWE-770: Allocation of Resources Without Limits or Throttling •
CVSS: 10.0EPSS: 0%CPEs: 10EXPL: 0CVE-2021-20998 – WAGO: Managed Switches: Unauthorized creation of user accounts
https://notcve.org/view.php?id=CVE-2021-20998
13 May 2021 — In multiple managed switches by WAGO in different versions without authorization and with specially crafted packets it is possible to create users. En múltiples switches administrados por WAGO en diferentes versiones sin autorización y con paquetes especialmente diseñados es posible crear usuarios • https://cert.vde.com/en-us/advisories/vde-2021-013 • CWE-306: Missing Authentication for Critical Function •
CVSS: 7.5EPSS: 0%CPEs: 10EXPL: 0CVE-2021-20997 – WAGO: Managed Switches: Unauthorized access to password hashes
https://notcve.org/view.php?id=CVE-2021-20997
13 May 2021 — In multiple managed switches by WAGO in different versions it is possible to read out the password hashes of all Web-based Management users. En múltiples switches administrados por WAGO en diferentes versiones, es posible leer los hashes de contraseña de todos los usuarios de Administración basada en Web • https://cert.vde.com/en-us/advisories/vde-2021-013 • CWE-522: Insufficiently Protected Credentials •
CVSS: 5.3EPSS: 0%CPEs: 10EXPL: 0CVE-2021-20996 – WAGO: Managed Switches: Unsecure Cookie settings
https://notcve.org/view.php?id=CVE-2021-20996
13 May 2021 — In multiple managed switches by WAGO in different versions special crafted requests can lead to cookies being transferred to third parties. En múltiples switches administrados por WAGO en diferentes versiones, las peticiones especiales diseñadas pueden llevar a que las cookies se transfieran a terceros • https://cert.vde.com/en-us/advisories/vde-2021-013 • CWE-732: Incorrect Permission Assignment for Critical Resource •
CVSS: 7.5EPSS: 0%CPEs: 10EXPL: 0CVE-2021-20995 – WAGO: Managed Switches: Storage of user credentials in a cookie
https://notcve.org/view.php?id=CVE-2021-20995
13 May 2021 — In multiple managed switches by WAGO in different versions the webserver cookies of the web based UI contain user credentials. En múltiples switches administrados por WAGO en diferentes versiones, las cookies del servidor web de la Interfaz de Usuario basada en web contienen credenciales de usuario • https://cert.vde.com/en-us/advisories/vde-2021-013 • CWE-312: Cleartext Storage of Sensitive Information •
CVSS: 8.8EPSS: 0%CPEs: 10EXPL: 0CVE-2021-20994 – WAGO: Managed Switches: Reflected Cross-site Scripting
https://notcve.org/view.php?id=CVE-2021-20994
13 May 2021 — In multiple managed switches by WAGO in different versions an attacker may trick a legitimate user to click a link to inject possible malicious code into the Web-Based Management. En múltiples switches administrados por WAGO en diferentes versiones, un atacante puede engañar a un usuario legítimo para que haga clic en un enlace para inyectar un posible código malicioso en la Administración Basada en Web • https://cert.vde.com/en-us/advisories/vde-2021-013 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •