CVE-2021-35066
https://notcve.org/view.php?id=CVE-2021-35066
An XXE vulnerability exists in ConnectWise Automate before 2021.0.6.132. Se presenta una vulnerabilidad de tipo XXE en ConnectWise Automate versiones anteriores a 2021.0.6.132 • https://home.connectwise.com/securityBulletin/60cc8c63508a120001cb6e8d https://www.connectwise.com/company/trust/security-bulletins • CWE-611: Improper Restriction of XML External Entity Reference •
CVE-2020-15838
https://notcve.org/view.php?id=CVE-2020-15838
The Agent Update System in ConnectWise Automate before 2020.8 allows Privilege Escalation because the _LTUPDATE folder has weak permissions. El Agent Update System en ConnectWise Automate versiones anteriores a 2020.8, permite una Escalada de Privilegios porque la carpeta _LTUPDATE presenta permisos débiles • https://dbeta.com/2020/10/05/PrivilegeEscalationInAutomateAgent https://www.connectwise.com/company/trust/security-bulletins • CWE-732: Incorrect Permission Assignment for Critical Resource •
CVE-2020-15027
https://notcve.org/view.php?id=CVE-2020-15027
ConnectWise Automate through 2020.x has insufficient validation on certain authentication paths, allowing authentication bypass via a series of attempts. This was patched in 2020.7 and in a hotfix for 2019.12. ConnectWise Automate versiones hasta 2020.x, presenta una comprobación insuficiente en determinadas rutas de autenticación, permitiendo una omisión de autenticación por medio de una serie de intentos. Esto fue parcheado en versión 2020.7 y en una revisión para la versión 2019.12 • https://slagle.tech/2020/07/06/cve-2020-15027 • CWE-287: Improper Authentication •