CVSS: 5.3EPSS: 0%CPEs: 4EXPL: 0CVE-2019-3928
https://notcve.org/view.php?id=CVE-2019-3928
Crestron AM-100 with firmware 1.6.0.2 and AM-101 with firmware 2.7.0.2 allow any user to obtain the presentation passcode via the iso.3.6.1.4.1.3212.100.3.2.7.4 OIDs. A remote, unauthenticated attacker can use this vulnerability to access a restricted presentation or to become the presenter. Crestron AM-100 con versión de firmware 1.6.0.2 y AM-101 con firmware versión 2.7.0.2 permite a cualquier usuario obtener el código de acceso de presentación por medio de la OID iso.3.6.1.4.1.3212.100.3.2.7.4. Un atacante remoto sin identificar puede usar esta vulnerabilidad para acceder a una presentación restringida o para convertirse en presentador. • https://www.tenable.com/security/research/tra-2019-20 • CWE-284: Improper Access Control •
CVSS: 9.8EPSS: 1%CPEs: 4EXPL: 1CVE-2019-3927
https://notcve.org/view.php?id=CVE-2019-3927
Crestron AM-100 with firmware 1.6.0.2 and AM-101 with firmware 2.7.0.2 anyone can change the administrator and moderator passwords via the iso.3.6.1.4.1.3212.100.3.2.8.1 and iso.3.6.1.4.1.3212.100.3.2.8.2 OIDs. A remote, unauthenticated attacker can use this vulnerability to change the admin or moderator user's password and gain access to restricted areas on the HTTP interface. En Crestron AM-100 con versión de firmware 1.6.0.2 y AM-101 con el firmware versión 2.7.0.2 cualquiera puede cambiar las contraseñas de administrador y moderador por medio la OID iso.3.6.1.4.1.3212.100.3.2.8.1 y iso.3.6.1.4.1.3212.100.3.2.8.2. Un atacante remoto sin identificar puede usar esta vulnerabilidad para cambiar la contraseña del usuario administrador o moderador y obtener acceso a áreas restringidas en la interfaz HTTP. • https://www.tenable.com/security/research/tra-2019-20 • CWE-284: Improper Access Control CWE-287: Improper Authentication •
CVSS: 10.0EPSS: 0%CPEs: 4EXPL: 1CVE-2019-3926
https://notcve.org/view.php?id=CVE-2019-3926
Crestron AM-100 with firmware 1.6.0.2 and AM-101 with firmware 2.7.0.2 are vulnerable to command injection via SNMP OID iso.3.6.1.4.1.3212.100.3.2.14.1. A remote, unauthenticated attacker can use this vulnerability to execute operating system commands as root. Crestron AM-100 con firmware 1.6.0.2 y AM-101 con firmware 2.7.0.2 son vulnerables a la inyección de comandos mediante SNMP OID iso.3.6.1.4.4.1.3212.100.3.2.14.1. Un atacante remoto no autenticado puede utilizar esta vulnerabilidad para ejecutar comandos del sistema operativo como root. • https://www.tenable.com/security/research/tra-2019-20 • CWE-78: Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection') CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 10.0EPSS: 0%CPEs: 4EXPL: 1CVE-2019-3925
https://notcve.org/view.php?id=CVE-2019-3925
Crestron AM-100 with firmware 1.6.0.2 and AM-101 with firmware 2.7.0.2 are vulnerable to command injection via SNMP OID iso.3.6.1.4.1.3212.100.3.2.9.3. A remote, unauthenticated attacker can use this vulnerability to execute operating system commands as root. Crestron AM-100 con firmware 1.6.0.2 y AM-101 con firmware 2.7.0.2 son vulnerables a la inyección de comandos mediante SNMP OID iso.3.6.1.4.1.3212.100.3.2.9.3. Un atacante remoto no autenticado puede utilizar esta vulnerabilidad para ejecutar comandos del sistema operativo como root. • https://www.tenable.com/security/research/tra-2019-20 • CWE-78: Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection') CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 9.1EPSS: 0%CPEs: 2EXPL: 1CVE-2019-3910
https://notcve.org/view.php?id=CVE-2019-3910
Crestron AM-100 before firmware version 1.6.0.2 contains an authentication bypass in the web interface's return.cgi script. Unauthenticated remote users can use the bypass to access some administrator functionality such as configuring update sources and rebooting the device. Crestron AM-100, en versiones de firmware anteriores a la 1.6.0.2, contiene una omisión de autenticación en el script "return.cgi" de la interfaz web. Usuarios remotos no autenticados pueden hacer uso de la omisión para acceder a algunas funcionalidades del administrador, como pueden ser la configuración de la actualización de fuentes y el reinicio del dispositivo. • https://www.tenable.com/security/research/tra-2019-02 •