CVSS: 9.8EPSS: 97%CPEs: 4EXPL: 1CVE-2021-20090 – Arcadyan Buffalo Firmware Path Traversal Vulnerability
https://notcve.org/view.php?id=CVE-2021-20090
A path traversal vulnerability in the web interfaces of Buffalo WSR-2533DHPL2 firmware version <= 1.02 and WSR-2533DHP3 firmware version <= 1.24 could allow unauthenticated remote attackers to bypass authentication. Una vulnerabilidad de salto de ruta en las interfaces web de Buffalo WSR-2533DHPL2 versión de firmware anterior a 1.02 e incluyéndola y WSR-2533DHP3 versión de firmware anterior a 1.24 e incluyéndola, podría permitir a atacantes remotos no autenticados omitir la autenticación Arcadyan Buffalo firmware contains a path traversal vulnerability that could allow unauthenticated, remote attackers to bypass authentication and access sensitive information. This vulnerability affects multiple routers across several different vendors. • https://www.kb.cert.org/vuls/id/914124 https://www.secpod.com/blog/arcadyan-based-routers-and-modems-under-active-exploitation https://www.tenable.com/security/research/tra-2021-13 • CWE-22: Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') •
CVSS: 8.8EPSS: 0%CPEs: 48EXPL: 0CVE-2021-3512
https://notcve.org/view.php?id=CVE-2021-3512
Improper access control vulnerability in Buffalo broadband routers (BHR-4GRV firmware Ver.1.99 and prior, DWR-HP-G300NH firmware Ver.1.83 and prior, HW-450HP-ZWE firmware Ver.1.99 and prior, WHR-300HP firmware Ver.1.99 and prior, WHR-300 firmware Ver.1.99 and prior, WHR-G301N firmware Ver.1.86 and prior, WHR-HP-G300N firmware Ver.1.99 and prior, WHR-HP-GN firmware Ver.1.86 and prior, WPL-05G300 firmware Ver.1.87 and prior, WZR-450HP-CWT firmware Ver.1.99 and prior, WZR-450HP-UB firmware Ver.1.99 and prior, WZR-HP-AG300H firmware Ver.1.75 and prior, WZR-HP-G300NH firmware Ver.1.83 and prior, WZR-HP-G301NH firmware Ver.1.83 and prior, WZR-HP-G302H firmware Ver.1.85 and prior, WZR-HP-G450H firmware Ver.1.89 and prior, WZR-300HP firmware Ver.1.99 and prior, WZR-450HP firmware Ver.1.99 and prior, WZR-600DHP firmware Ver.1.99 and prior, WZR-D1100H firmware Ver.1.99 and prior, FS-HP-G300N firmware Ver.3.32 and prior, FS-600DHP firmware Ver.3.38 and prior, FS-R600DHP firmware Ver.3.39 and prior, and FS-G300N firmware Ver.3.13 and prior) allows remote unauthenticated attackers to bypass access restriction and to start telnet service and execute arbitrary OS commands with root privileges via unspecified vectors. Una vulnerabilidad de control de acceso inapropiado en los enrutadores de banda ancha de Buffalo (firmware de BHR-4GRV Ver.1.99 y anterior, firmware de DWR-HP-G300NH Ver.1.83 y anterior, firmware HW-450HP-ZWE Ver.1.99 y anterior, firmware de WHR-300HP Ver.1.99 y versiones anteriores, firmware de WHR-300 Ver.1.99 y anteriores, firmware de WHR-G301N Ver.1.86 y anteriores, firmware de WHR-HP-G300N Ver.1.99 y anteriores, firmware de WHR-HP-GN Ver.1.86 y anteriores, WPL-05G300 firmware Ver.1.87 y anterior, firmware de WZR-450HP-CWT Ver.1.99 y anterior, firmware de WZR-450HP-UB Ver.1.99 y anterior, firmware de WZR-HP-AG300H Ver.1.75 y anterior, firmware de WZR-HP-G300NH Ver .1.83 y anteriores, firmware de WZR-HP-G301NH Ver.1.83 y anteriores, firmware de WZR-HP-G302H Ver.1.85 y anteriores, firmware de WZR-HP-G450H Ver.1.89 y anteriores, firmware de WZR-300HP Ver.1.99 y anteriores , Firmware WZR-450HP Ver.1.99 y anteriores, firmware de WZR-600DHP Ver.1.99 y anteriores, firmware WZR-D1100H Ver.1.99 y anteriores, firmware de FS-HP-G300N Ver.3.32 y anteriores, firmware de FS-600DHP Ver.3.38 y anteriores, firmware de FS-R600DHP Ver.3.39 y anteriores, y firmware de FS-G300N Ver.3.13 y anteriores) permite a atacantes remotos no autenticados omitir la restricción de acceso e iniciar el servicio Telnet y ejecutar comandos arbitrarios del Sistema Operativo con privilegios de root por medio de vectores no especificados • https://jvn.jp/en/vu/JVNVU99235714/index.html https://www.buffalo.jp/news/detail/20210427-01.html •
CVSS: 4.3EPSS: 0%CPEs: 48EXPL: 0CVE-2021-3511
https://notcve.org/view.php?id=CVE-2021-3511
Disclosure of sensitive information to an unauthorized user vulnerability in Buffalo broadband routers (BHR-4GRV firmware Ver.1.99 and prior, DWR-HP-G300NH firmware Ver.1.83 and prior, HW-450HP-ZWE firmware Ver.1.99 and prior, WHR-300HP firmware Ver.1.99 and prior, WHR-300 firmware Ver.1.99 and prior, WHR-G301N firmware Ver.1.86 and prior, WHR-HP-G300N firmware Ver.1.99 and prior, WHR-HP-GN firmware Ver.1.86 and prior, WPL-05G300 firmware Ver.1.87 and prior, WZR-450HP-CWT firmware Ver.1.99 and prior, WZR-450HP-UB firmware Ver.1.99 and prior, WZR-HP-AG300H firmware Ver.1.75 and prior, WZR-HP-G300NH firmware Ver.1.83 and prior, WZR-HP-G301NH firmware Ver.1.83 and prior, WZR-HP-G302H firmware Ver.1.85 and prior, WZR-HP-G450H firmware Ver.1.89 and prior, WZR-300HP firmware Ver.1.99 and prior, WZR-450HP firmware Ver.1.99 and prior, WZR-600DHP firmware Ver.1.99 and prior, WZR-D1100H firmware Ver.1.99 and prior, FS-HP-G300N firmware Ver.3.32 and prior, FS-600DHP firmware Ver.3.38 and prior, FS-R600DHP firmware Ver.3.39 and prior, and FS-G300N firmware Ver.3.13 and prior) allows remote unauthenticated attackers to obtain information such as configuration via unspecified vectors. Una divulgación de información confidencial a una vulnerabilidad de usuario no autorizado en los enrutadores de banda ancha de Buffalo (firmware de BHR-4GRV Ver.1.99 y anterior, firmware de DWR-HP-G300NH Ver.1.83 y anterior, firmware HW-450HP-ZWE Ver.1.99 y anterior, WHR- Firmware 300HP Ver.1.99 y anteriores, firmware de WHR-300 Ver.1.99 y anteriores, firmware de WHR-G301N Ver.1.86 y anteriores, firmware de WHR-HP-G300N Ver.1.99 y anteriores, firmware de WHR-HP-GN Ver.1.86 y anterior, firmware de WPL-05G300 Ver.1.87 y anterior, firmware de WZR-450HP-CWT Ver.1.99 y anterior, firmware de WZR-450HP-UB Ver.1.99 y anterior, firmware de WZR-HP-AG300H Ver.1.75 y anterior, WZR- Firmware HP-G300NH Ver.1.83 y anterior, firmware de WZR-HP-G301NH Ver.1.83 y anterior, firmware de WZR-HP-G302H Ver.1.85 y anterior, firmware de WZR-HP-G450H Ver.1.89 y anterior, firmware de WZR-300HP Ver.1.99 y anteriores, firmware de WZR-450HP Ver.1.99 y anteriores, firmware de WZR-600DHP Ver.1.99 y anteriores, firmware de WZR-D1100H Ver.1.99 y anteriores, firmware FS-HP-G300N Ver.3.32 y anteriores, firmware FS-600DHP Ver.3.38 y anteriores, firmware FS-R600DHP Ver.3.39 y anteriores, y el firmware de FS-G300N Ver.3.13 y anteriores) permite a atacantes remotos no autenticados obtener información como la configuración por medio de vectores no especificados • https://jvn.jp/en/vu/JVNVU99235714/index.html https://www.buffalo.jp/news/detail/20210427-01.html •
CVSS: 10.0EPSS: 1%CPEs: 70EXPL: 0CVE-2021-20716
https://notcve.org/view.php?id=CVE-2021-20716
Hidden functionality in multiple Buffalo network devices (BHR-4RV firmware Ver.2.55 and prior, FS-G54 firmware Ver.2.04 and prior, WBR2-B11 firmware Ver.2.32 and prior, WBR2-G54 firmware Ver.2.32 and prior, WBR2-G54-KD firmware Ver.2.32 and prior, WBR-B11 firmware Ver.2.23 and prior, WBR-G54 firmware Ver.2.23 and prior, WBR-G54L firmware Ver.2.20 and prior, WHR2-A54G54 firmware Ver.2.25 and prior, WHR2-G54 firmware Ver.2.23 and prior, WHR2-G54V firmware Ver.2.55 and prior, WHR3-AG54 firmware Ver.2.23 and prior, WHR-G54 firmware Ver.2.16 and prior, WHR-G54-NF firmware Ver.2.10 and prior, WLA2-G54 firmware Ver.2.24 and prior, WLA2-G54C firmware Ver.2.24 and prior, WLA-B11 firmware Ver.2.20 and prior, WLA-G54 firmware Ver.2.20 and prior, WLA-G54C firmware Ver.2.20 and prior, WLAH-A54G54 firmware Ver.2.54 and prior, WLAH-AM54G54 firmware Ver.2.54 and prior, WLAH-G54 firmware Ver.2.54 and prior, WLI2-TX1-AG54 firmware Ver.2.53 and prior, WLI2-TX1-AMG54 firmware Ver.2.53 and prior, WLI2-TX1-G54 firmware Ver.2.20 and prior, WLI3-TX1-AMG54 firmware Ver.2.53 and prior, WLI3-TX1-G54 firmware Ver.2.53 and prior, WLI-T1-B11 firmware Ver.2.20 and prior, WLI-TX1-G54 firmware Ver.2.20 and prior, WVR-G54-NF firmware Ver.2.02 and prior, WZR-G108 firmware Ver.2.41 and prior, WZR-G54 firmware Ver.2.41 and prior, WZR-HP-G54 firmware Ver.2.41 and prior, WZR-RS-G54 firmware Ver.2.55 and prior, and WZR-RS-G54HP firmware Ver.2.55 and prior) allows a remote attacker to enable the debug option and to execute arbitrary code or OS commands, change the configuration, and cause a denial of service (DoS) condition. Una funcionalidad Hidden en múltiples dispositivos de red de Buffalo (firmware de BHR-4RV Ver.2.55 y anteriores, firmware de FS-G54 Ver.2.04 y anteriores, firmware de WBR2-B11 Ver.2.32 y anteriores, firmware de WBR2-G54 Ver.2 .32 y anteriores, firmware de WBR2-G54-KD Ver.2.32 y anteriores, firmware de WBR-B11 Ver.2.23 y anteriores, firmware de WBR-G54 Ver.2.23 y anteriores, firmware de WBR-G54L Ver.2.20 y anteriores, firmware de WHR2-A54G54 Ver.2 .25 y anteriores, firmware de WHR2-G54 Ver.2.23 y anteriores, firmware de WHR2-G54V Ver.2.55 y anteriores, firmware de WHR3-AG54 Ver.2.23 y anteriores, firmware de WHR-G54 Ver.2.16 y anteriores, firmware de WHR-G54-NF Ver.2 .10 y anteriores, firmware de WLA2-G54 Ver.2.24 y anteriores, firmware de WLA2-G54C Ver.2.24 y anteriores, firmware de WLA-B11 Ver.2.20 y anteriores, firmware de WLA-G54 Ver.2.20 y anteriores, firmware de WLA-G54C Ver.2.20 y anteriores, firmware de WLAH-A54G54 Ver.2 .54 y anteriores, firmware de WLAH-AM54G54 Ver.2.54 y anteriores, firmware de WLAH-G54 Ver.2.54 y anteriores, firmware de WLI2-TX1-AG54 Ver.2.53 y anteriores, firmware de WLI2-TX1-AMG54 Ver.2.53 y anteriores, firmware de WLI2-TX1-G54 Ver.2 .20 y anteriores, firmware de WLI3-TX1-AMG54 Ver.2.53 y anteriores, firmware de WLI3-TX1-G54 Ver.2.53 y anteriores, firmware de WLI-T1-B11 Ver.2.20 y anteriores, firmware de WLI-TX1-G54 Ver.2.20 y anteriores, firmware de WVR-G54-NF Ver.2 .02 y anteriores, firmware de WZR-G108 Ver.2.41 y anteriores, firmware de WZR-G54 Ver.2.41 y anteriores, firmware de WZR-HP-G54 Ver.2.41 y anteriores, firmware de WZR-RS-G54 Ver.2.55 y anteriores, y firmware de WZR-RS-G54HP Ver.2.55 y anteriores) permite a un atacante remoto habilitar la opción de depuración y ejecutar código arbitrario o comandos del Sistema Operativo, cambiar la configuración, y causar una condición de denegación de servicio (DoS) • https://jvn.jp/en/vu/JVNVU90274525/index.html https://www.buffalo.jp/news/detail/20210427-02.html •
CVSS: 6.1EPSS: 0%CPEs: 2EXPL: 0CVE-2020-5606
https://notcve.org/view.php?id=CVE-2020-5606
Cross-site scripting vulnerability in WHR-G54S firmware 1.43 and earlier allows remote attackers to inject arbitrary script via a specially crafted page. Una vulnerabilidad de tipo Cross-site scripting en WHR-G54S versión de firmware 1.43 y anteriores, permite a atacantes remotos inyectar script arbitrario por medio de una página especialmente diseñada • https://jvn.jp/en/jp/JVN09166495/index.html https://www.buffalo.jp/news/detail/20200911-01.html • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •