CVSS: 7.5EPSS: 0%CPEs: 47EXPL: 0CVE-2019-6855
https://notcve.org/view.php?id=CVE-2019-6855
Incorrect Authorization vulnerability exists in EcoStruxure Control Expert (all versions prior to 14.1 Hot Fix), Unity Pro (all versions), Modicon M340 (all versions prior to V3.20) , and Modicon M580 (all versions prior to V3.10), which could cause a bypass of the authentication process between EcoStruxure Control Expert and the M340 and M580 controllers. Existe una vulnerabilidad de Autorización Incorrecta en EcoStruxure Control Expert (todas las versiones anteriores a la 14.1 Hot Fix), Unity Pro (todas las versiones), Modicon M340 (todas las versiones anteriores a la V3.20) , y Modicon M580 (todas las versiones anteriores a la V3.10), que podría causar un bypass del proceso de autenticación entre EcoStruxure Control Expert y los controladores M340 y M580 • https://www.se.com/ww/en/download/document/SEVD-2019-344-02 • CWE-863: Incorrect Authorization •
CVSS: 7.8EPSS: 0%CPEs: 3EXPL: 0CVE-2019-6854
https://notcve.org/view.php?id=CVE-2019-6854
A CWE-287: Improper Authentication vulnerability exists in a folder within EcoStruxure Geo SCADA Expert (ClearSCADA) -with initial releases before 1 January 2019- which could cause a low privilege user to delete or modify database, setting or certificate files. Those users must have access to the file system of that operating system to exploit this vulnerability. Affected versions in current support includes ClearSCADA 2017 R3, ClearSCADA 2017 R2, and ClearSCADA 2017. CWE-287: Se presenta una vulnerabilidad de autenticación inapropiada en una carpeta dentro de EcoStruxure Geo SCADA Expert (ClearSCADA), con versiones iniciales anteriores al 1 de enero de 2019, lo que podría causar que un usuario con poco privilegio elimine o modifique archivos de bases de datos, configuraciones o certificados . Esos usuarios necesitan tener acceso al sistema de archivos de ese sistema operativo para explotar esta vulnerabilidad. • https://www.se.com/ww/en/download/document/SEVD-2019-344-05 • CWE-287: Improper Authentication •
CVSS: 7.5EPSS: 0%CPEs: 20EXPL: 0CVE-2019-6852
https://notcve.org/view.php?id=CVE-2019-6852
A CWE-200: Information Exposure vulnerability exists in Modicon Controllers (M340 CPUs, M340 communication modules, Premium CPUs, Premium communication modules, Quantum CPUs, Quantum communication modules - see security notification for specific versions), which could cause the disclosure of FTP hardcoded credentials when using the Web server of the controller on an unsecure network. Una CWE-200: Se presenta una vulnerabilidad de Exposición de Información en los Controladores Modicon (CPU M340, módulos de comunicación M340, CPU Premium, módulos de comunicación Premium, CPU Quantum, módulos de comunicación Quantum; consulte la notificación de seguridad para versiones específicas), lo que podría causar una divulgación de credenciales embebidas en FTP cuando se utiliza el servidor web del controlador en una red no segura. • https://www.schneider-electric.com/ww/en/download/document/SEVD-2019-281-02 https://www.se.com/ww/en/download/document/SEVD-2019-316-02%20 • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •
CVSS: 6.1EPSS: 0%CPEs: 22EXPL: 0CVE-2019-6853
https://notcve.org/view.php?id=CVE-2019-6853
A CWE-79: Failure to Preserve Web Page Structure vulnerability exists in Andover Continuum (models 9680, 5740 and 5720, bCX4040, bCX9640, 9900, 9940, 9924 and 9702) , which could enable a successful Cross-site Scripting (XSS attack) when using the products web server. Una CWE-79: Se presenta una vulnerabilidad de Fallo al Preservar la Estructura de la Página Web en Andover Continuum (modelos 9680, 5740 y 5720, bCX4040, bCX9640, 9900, 9940, 9924 y 9702), lo que podría permitir un ataque de tipo Cross-site Scripting (XSS) cuando se utiliza el servidor web de productos. • https://www.se.com/ww/en/download/document/SEVD-2019-316-01 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 7.5EPSS: 0%CPEs: 74EXPL: 0CVE-2019-6851
https://notcve.org/view.php?id=CVE-2019-6851
A CWE-538: File and Directory Information Exposure vulnerability exists in Modicon M580, Modicon M340, Modicon Premium , Modicon Quantum (all firmware versions), which could cause the disclosure of information from the controller when using TFTP protocol. CWE-538: Hay una vulnerabilidad de Exposición de Información de Archivos y Directorios en Modicon M580, Modicon M340, Modicon Premium, Modicon Quantum (todas las versiones de firmware), lo que podría causar una divulgación de información del controlador cuando se usa el protocolo TFTP. • https://www.schneider-electric.com/ww/en/download/document/SEVD-2019-281-01 • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor CWE-538: Insertion of Sensitive Information into Externally-Accessible File or Directory •