CVE-2019-12506
https://notcve.org/view.php?id=CVE-2019-12506
Due to unencrypted and unauthenticated data communication, the wireless presenter Logitech R700 Laser Presentation Remote R-R0010 is prone to keystroke injection attacks. Thus, an attacker is able to send arbitrary keystrokes to a victim's computer system, e.g., to install malware when the target system is unattended. In this way, an attacker can remotely take control over the victim's computer that is operated with an affected receiver of this device. Debido a la comunicación de datos no cifrada y no autenticada, el presentador inalámbrico Logitech R700 Laser Presentation Remote versión R-R0010 es propenso a los ataques de inyección de pulsaciones de teclas (keystroke injection). Por lo tanto, un atacante puede enviar pulsaciones arbitrarias al sistema informático de la víctima, por ejemplo, para instalar malware cuando el sistema de destino está desatendido. • http://packetstormsecurity.com/files/153186/Logitech-R700-Laser-Presentation-Remote-Keystroke-Injection.html http://seclists.org/fulldisclosure/2019/Jun/15 https://seclists.org/bugtraq/2019/Jun/4 https://www.syss.de/fileadmin/dokumente/Publikationen/Advisories/SYSS-2019-015.txt • CWE-306: Missing Authentication for Critical Function CWE-319: Cleartext Transmission of Sensitive Information •
CVE-2018-15721
https://notcve.org/view.php?id=CVE-2018-15721
The XMPP server in Logitech Harmony Hub before version 4.15.206 is vulnerable to authentication bypass via a crafted XMPP request. Remote attackers can use this vulnerability to gain access to the local API. El servidor XMPP en Logitech Harmony Hub, en versiones anteriores a la 4.15.206, es vulnerable a una omisión de autenticación mediante una petición XMPP manipulada. Los atacantes remotos podrían explotar esta vulnerabilidad para obtener acceso a la API local. • https://www.tenable.com/security/research/tra-2018-47 • CWE-287: Improper Authentication •
CVE-2018-15723
https://notcve.org/view.php?id=CVE-2018-15723
The Logitech Harmony Hub before version 4.15.206 is vulnerable to application level command injection via crafted HTTP request. An unauthenticated remote attacker can leverage this vulnerability to execute application defined commands (e.g. harmony.system?systeminfo). Logitech Harmony Hub, en versiones anteriores a la 4.15.206, es vulnerable a una inyección de comandos a nivel de aplicación mediante una petición HTTP manipulada. Un atacante remoto no autenticado puede aprovechar esta vulnerabilidad para ejecutar comandos definidos por la aplicación (por ejemplo, harmony.system? • https://www.tenable.com/security/research/tra-2018-47 • CWE-346: Origin Validation Error •
CVE-2018-15720
https://notcve.org/view.php?id=CVE-2018-15720
Logitech Harmony Hub before version 4.15.206 contained two hard-coded accounts in the XMPP server that gave remote users access to the local API. Logitech Harmony Hub, en versiones anteriores a la 4.15.206, contenía dos cuentas embebidas en el servidor XMPP que otorgaba a los usuarios remotos acceso a la API local. • https://www.tenable.com/security/research/tra-2018-47 • CWE-798: Use of Hard-coded Credentials •
CVE-2018-15722
https://notcve.org/view.php?id=CVE-2018-15722
The Logitech Harmony Hub before version 4.15.206 is vulnerable to OS command injection via the time update request. A remote server or man in the middle can inject OS commands with a properly formatted response. Logitech Harmony Hub, en versiones anteriores a la 4.15.206, es vulnerable a una inyección de comandos del sistema operativo mediante la petición de actualización de tiempo. Un servidor remoto o Man-in-the-Middle (MitM) puede inyectar comandos del sistema operativo con una respuesta correctamente formateada. • https://www.tenable.com/security/research/tra-2018-47 • CWE-78: Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection') •