CVE-2017-2687
https://notcve.org/view.php?id=CVE-2017-2687
Siemens RUGGEDCOM ROX I (all versions) contain a vulnerability in the integrated web server at port 10000/TCP which is prone to reflected Cross-Site Scripting attacks if an unsuspecting user is induced to click on a malicious link. Siemens RUGGEDCOM ROX I (todas las versiones) contiene una vulnerabilidad en el servidor web integrado en el puerto 10000/TCP que es propenso a reflejar ataques de envio de secuencias de comandos en sitios cruzados si un usuario desprevenido es inducido a hacer clic en un enlace malicioso. • http://www.securityfocus.com/bid/97170 http://www.securitytracker.com/id/1038160 https://ics-cert.us-cert.gov/advisories/ICSA-17-087-01 https://www.siemens.com/cert/pool/cert/siemens_security_advisory_ssa-327980.pdf • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVE-2017-2688
https://notcve.org/view.php?id=CVE-2017-2688
The integrated web server in Siemens RUGGEDCOM ROX I (all versions) at port 10000/TCP could allow remote attackers to perform actions with the privileges of an authenticated user, provided the targeted user has an active session and is induced into clicking on a malicious link or into visiting a malicious website, aka CSRF. El servidor web integrado en Siemens RUGGEDCOM ROX I (todas las versiones) en el puerto 10000/TCP podría permitir a atacantes remotos realizar acciones con los privilegios de un usuario autenticado, siempre que el usuario objetivo tenga una sesión activa e inducido a hacer clic en un enlace malicioso o visitar un sitio web malicioso, también conocido como CSRF. • http://www.securityfocus.com/bid/97170 http://www.securitytracker.com/id/1038160 https://ics-cert.us-cert.gov/advisories/ICSA-17-087-01 https://www.siemens.com/cert/pool/cert/siemens_security_advisory_ssa-327980.pdf • CWE-352: Cross-Site Request Forgery (CSRF) •
CVE-2017-6864
https://notcve.org/view.php?id=CVE-2017-6864
The integrated web server in Siemens RUGGEDCOM ROX I (all versions) at port 10000/TCP could allow an authenticated user to perform stored Cross-Site Scripting attacks. El servidor web integrado en Siemens RUGGEDCOM ROX I (todas las versiones) en el puerto 10000/TCP podría permitir a un usuario autenticado realizar ataques de envío de secuencias de comandos en sitios cruzados almacenados. • http://www.securityfocus.com/bid/97170 http://www.securitytracker.com/id/1038160 https://ics-cert.us-cert.gov/advisories/ICSA-17-087-01 https://www.siemens.com/cert/pool/cert/siemens_security_advisory_ssa-327980.pdf • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVE-2017-2689
https://notcve.org/view.php?id=CVE-2017-2689
Siemens RUGGEDCOM ROX I (all versions) allow an authenticated user to bypass access restrictions in the web interface at port 10000/TCP to obtain privileged file system access or change configuration settings. Siemens RUGGEDCOM ROX I (todas las versiones) permiten a un usuario autenticado evitar las restricciones de acceso en la interfaz web en el puerto 10000 / TCP para obtener acceso privilegiado al sistema de archivos o cambiar la configuración. • http://www.securityfocus.com/bid/97170 http://www.securitytracker.com/id/1038160 https://ics-cert.us-cert.gov/advisories/ICSA-17-087-01 https://www.siemens.com/cert/pool/cert/siemens_security_advisory_ssa-327980.pdf • CWE-285: Improper Authorization CWE-287: Improper Authentication •
CVE-2015-5537
https://notcve.org/view.php?id=CVE-2015-5537
The SSL layer of the HTTPS service in Siemens RuggedCom ROS before 4.2.0 and ROX II does not properly implement CBC padding, which makes it easier for man-in-the-middle attackers to obtain cleartext data via a padding-oracle attack, a different vulnerability than CVE-2014-3566. Vulnerabilidad en la capa SSL del servicio HTTPS en Siemens RuggedCom ROS en versiones anteriores a 4.2.0 y ROX II, no implementa adecuadamente el padding en CBC, lo cual facilita a atacantes man-in-the-middle obtener texto plano a través de un ataque padding-oracle, vulnerabilidad diferente a CVE-2014-3566. • http://www.securitytracker.com/id/1033022 http://www.siemens.com/innovation/pool/de/forschungsfelder/siemens_security_advisory_ssa-396873.pdf https://ics-cert.us-cert.gov/advisories/ICSA-15-202-03A • CWE-312: Cleartext Storage of Sensitive Information •