CVE-2021-42538 – Emerson WirelessHART Gateway
https://notcve.org/view.php?id=CVE-2021-42538
The affected product is vulnerable to a parameter injection via passphrase, which enables the attacker to supply uncontrolled input. El producto afectado es vulnerable a una inyección de parámetros por medio de una frase de contraseña, que permite al atacante suministrar entradas no controladas • https://us-cert.cisa.gov/ics/advisories/icsa-21-278-02 • CWE-77: Improper Neutralization of Special Elements used in a Command ('Command Injection') CWE-78: Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection') •
CVE-2020-12030 – Emerson WirelessHART Gateway
https://notcve.org/view.php?id=CVE-2020-12030
There is a flaw in the code used to configure the internal gateway firewall when the gateway's VLAN feature is enabled. If a user enables the VLAN setting, the internal gateway firewall becomes disabled resulting in exposure of all ports used by the gateway. Se presenta un fallo en el código usado para configurar el firewall del gateway interno cuando la función VLAN del gateway está activada. Si un usuario habilita la configuración de la VLAN, el firewall del gateway interna se desactiva, resultando en una exposición de todos los puertos usados por el gateway • https://us-cert.cisa.gov/ics/advisories/icsa-20-135-02 • CWE-284: Improper Access Control •
CVE-2021-29298
https://notcve.org/view.php?id=CVE-2021-29298
Improper Input Validation in Emerson GE Automation Proficy Machine Edition v8.0 allows an attacker to cause a denial of service and application crash via crafted traffic from a Man-in-the-Middle (MITM) attack to the component "FrameworX.exe"in the module "fxVPStatcTcp.dll". Una comprobación de Entrada Inapropiada en Emerson GE Automation Proficy Machine Edition versiones v8.0, permite a un atacante causar una denegación de servicio y un bloqueo de la aplicación por medio de tráfico diseñado de un ataque Man-in-the-Middle (MITM) al componente "FrameworX.exe" en el módulo "fxVPStatcTcp.dll" • https://github.com/boofish/GE_Proficy_Machine_Edition_vul https://github.com/boofish/GE_Proficy_Machine_Edition_vul/blob/main/vul2/vul2_steps.pdf • CWE-20: Improper Input Validation •
CVE-2021-29297
https://notcve.org/view.php?id=CVE-2021-29297
Buffer Overflow in Emerson GE Automation Proficy Machine Edition v8.0 allows an attacker to cause a denial of service and application crash via crafted traffic from a Man-in-the-Middle (MITM) attack to the component "FrameworX.exe" in the module "MSVCR100.dll". Un desbordamiento del búfer en Emerson GE Automation Proficy Machine Edition versión v8.0, permite a un atacante causar una denegación de servicio y un bloqueo de la aplicación por medio de tráfico diseñado desde un ataque Man-in-the-Middle (MITM) al componente "FrameworX.exe" en el módulo "MSVCR100.dll" • https://github.com/boofish/GE_Proficy_Machine_Edition_vul https://github.com/boofish/GE_Proficy_Machine_Edition_vul/blob/main/vul1/vul1_steps.pdf • CWE-120: Buffer Copy without Checking Size of Input ('Classic Buffer Overflow') •
CVE-2021-27461
https://notcve.org/view.php?id=CVE-2021-27461
A vulnerability has been found in multiple revisions of Emerson Rosemount X-STREAM Gas Analyzer. The affected webserver applications allow access to stored data that can be obtained by using specially crafted URLs. Una vulnerabilidad ha sido encontrada en múltiples revisiones del programa Emerson Rosemount X-STREAM Gas Analyzer. Las aplicaciones del servidor web afectadas permiten el acceso a unos datos almacenados que pueden ser obtenidos al usar una URL especialmente diseñada • https://us-cert.cisa.gov/ics/advisories/icsa-21-138-01 • CWE-22: Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') •