CVSS: 10.0EPSS: 0%CPEs: 4EXPL: 0CVE-2022-39070
https://notcve.org/view.php?id=CVE-2022-39070
22 Nov 2022 — There is an access control vulnerability in some ZTE PON OLT products. Due to improper access control settings, remote attackers could use the vulnerability to log in to the device and execute any operation. Existe una vulnerabilidad de control de acceso en algunos productos ZTE PON OLT. Debido a una configuración de control de acceso inadecuada, los atacantes remotos podrían utilizar la vulnerabilidad para iniciar sesión en el dispositivo y ejecutar cualquier operación. • https://support.zte.com.cn/support/news/LoopholeInfoDetail.aspx?newsId=1027824 • CWE-284: Improper Access Control •
CVSS: 6.8EPSS: 0%CPEs: 2EXPL: 0CVE-2022-39067
https://notcve.org/view.php?id=CVE-2022-39067
22 Nov 2022 — There is a buffer overflow vulnerability in ZTE MF286R. Due to lack of input validation on parameters of the wifi interface, an authenticated attacker could use the vulnerability to perform a denial of service attack. Hay una vulnerabilidad de desbordamiento del búfer en ZTE MF286R. Debido a la falta de validación de entrada en los parámetros de la interfaz wifi, un atacante autenticado podría utilizar la vulnerabilidad para realizar un ataque de Denegación de Servicio (DoS). • https://support.zte.com.cn/support/news/LoopholeInfoDetail.aspx?newsId=1027784 • CWE-120: Buffer Copy without Checking Size of Input ('Classic Buffer Overflow') •
CVSS: 9.0EPSS: 70%CPEs: 2EXPL: 1CVE-2022-39066
https://notcve.org/view.php?id=CVE-2022-39066
22 Nov 2022 — There is a SQL injection vulnerability in ZTE MF286R. Due to insufficient validation of the input parameters of the phonebook interface, an authenticated attacker could use the vulnerability to execute arbitrary SQL injection. Existe una vulnerabilidad de inyección SQL en ZTE MF286R. Debido a una validación insuficiente de los parámetros de entrada de la interfaz de la agenda telefónica, un atacante autenticado podría utilizar la vulnerabilidad para ejecutar una inyección SQL arbitraria. • https://github.com/v0lp3/CVE-2022-39066 • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •
CVSS: 5.3EPSS: 0%CPEs: 1EXPL: 0CVE-2022-39069
https://notcve.org/view.php?id=CVE-2022-39069
08 Nov 2022 — There is a SQL injection vulnerability in ZTE ZAIP-AIE. Due to lack of input verification by the server, an attacker could trigger an attack by building malicious requests. Exploitation of this vulnerability could cause the leakage of the current table content. Existe una vulnerabilidad de inyección SQL en ZTE ZAIP-AIE. Debido a la falta de verificación de entrada por parte del servidor, un atacante podría desencadenar un ataque mediante la creación de solicitudes maliciosas. • https://support.zte.com.cn/support/news/LoopholeInfoDetail.aspx?newsId=1026604 • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •
CVSS: 9.4EPSS: 0%CPEs: 30EXPL: 0CVE-2022-23144
https://notcve.org/view.php?id=CVE-2022-23144
23 Sep 2022 — There is a broken access control vulnerability in ZTE ZXvSTB product. Due to improper permission control, attackers could use this vulnerability to delete the default application type, which affects normal use of system. Existe una vulnerabilidad de control de acceso rota en el producto ZTE ZXvSTB. Debido a un control de permisos inadecuado, los atacantes podrían utilizar esta vulnerabilidad para eliminar el tipo de aplicación por defecto, lo que afecta al uso normal del sistema • https://support.zte.com.cn/support/news/LoopholeInfoDetail.aspx?newsId=1026224 •
CVSS: 5.3EPSS: 0%CPEs: 2EXPL: 0CVE-2022-23142
https://notcve.org/view.php?id=CVE-2022-23142
18 Jul 2022 — ZXEN CG200 has a DoS vulnerability. An attacker could construct and send a large number of HTTP GET requests in a short time, which can make the product management websites not accessible. ZXEN versión CG200, presenta una vulnerabilidad DoS. Un atacante podría construir y enviar un gran número de peticiones HTTP GET en poco tiempo, lo que puede hacer que los sitios web de administración de productos no sean accesibles • https://support.zte.com.cn/support/news/LoopholeInfoDetail.aspx?newsId=1025304 •
CVSS: 7.8EPSS: 0%CPEs: 2EXPL: 0CVE-2022-23141
https://notcve.org/view.php?id=CVE-2022-23141
15 Jul 2022 — ZXMP M721 has an information leak vulnerability. Since the serial port authentication on the ZBOOT interface is not effective although it is enabled, an attacker could use this vulnerability to log in to the device to obtain sensitive information. ZXMP M721 presenta una vulnerabilidad de filtrado de información. Dado que la autenticación del puerto serie en la interfaz ZBOOT no es efectiva aunque esté habilitada, un atacante podría usar esta vulnerabilidad para iniciar sesión en el dispositivo y obtener inf... • https://support.zte.com.cn/support/news/LoopholeInfoDetail.aspx?newsId=1025264 • CWE-532: Insertion of Sensitive Information into Log File •
CVSS: 7.5EPSS: 0%CPEs: 2EXPL: 0CVE-2022-23138
https://notcve.org/view.php?id=CVE-2022-23138
09 Jun 2022 — ZTE's MF297D product has cryptographic issues vulnerability. Due to the use of weak random values, the security of the device is reduced, and it may face the risk of attack. El producto MF297D de ZTE presenta una vulnerabilidad de problemas criptográficos. Debido al uso de valores aleatorios débiles, la seguridad del dispositivo es reducida, y puede enfrentarse al riesgo de ataque • https://support.zte.com.cn/support/news/LoopholeInfoDetail.aspx?newsId=1024624 • CWE-330: Use of Insufficiently Random Values •
CVSS: 8.8EPSS: 0%CPEs: 2EXPL: 0CVE-2022-23139
https://notcve.org/view.php?id=CVE-2022-23139
12 May 2022 — ZTE's ZXMP M721 product has a permission and access control vulnerability. Since the folder permission viewed by sftp is 666, which is inconsistent with the actual permission. It’s easy for?users to?ignore the modification? • https://support.zte.com.cn/support/news/LoopholeInfoDetail.aspx?newsId=1024444 • CWE-863: Incorrect Authorization •
CVSS: 6.1EPSS: 0%CPEs: 2EXPL: 0CVE-2022-23137
https://notcve.org/view.php?id=CVE-2022-23137
11 May 2022 — ZTE's ZXCDN product has a reflective XSS vulnerability. The attacker could modify the parameters in the content clearing request url, and when a user clicks the url, an XSS attack will be triggered. El producto ZXCDN de ZTE presenta una vulnerabilidad de tipo XSS reflexiva. El atacante podría modificar los parámetros en la url de petición de compensación de contenido, y cuando un usuario haga clic en la url, será desencadenado un ataque de tipo XSS • https://support.zte.com.cn/support/news/LoopholeInfoDetail.aspx?newsId=1024404 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •