CVSS: 7.5EPSS: 0%CPEs: 1EXPL: 0CVE-2019-10244
https://notcve.org/view.php?id=CVE-2019-10244
In Eclipse Kura versions up to 4.0.0, the Web UI package and component services, the Artemis simple Mqtt component and the emulator position service (not part of the device distribution) could potentially be target of XXE attack due to an improper factory and parser initialisation. En Eclipse Kura en las versiones anteriores a la 4.0.0, el paquete de interfaz de usuario web y los servicios de componentes, el componente Mqtt simple de Artemis y el servicio de posición de emulador (que no forma parte de la distribución del dispositivo) podrían ser objeto de un ataque XXE debido a una inicialización inadecuada de fábrica del analizador. • http://www.securityfocus.com/bid/107844 https://bugs.eclipse.org/bugs/show_bug.cgi?id=545835 • CWE-611: Improper Restriction of XML External Entity Reference •
CVSS: 5.3EPSS: 0%CPEs: 1EXPL: 0CVE-2019-10243
https://notcve.org/view.php?id=CVE-2019-10243
In Eclipse Kura versions up to 4.0.0, Kura exposes the underlying Ui Web server version in its replies. This can be used as a hint by an attacker to specifically craft attacks to the web server run by Kura. En Eclipse Kura en las versiones anteriores a la 4.0.0, Kura expone la versión subyacente del servidor Web de Ui en sus respuestas. Esto puede ser usado como una pista por un atacante para crear ataques específicos al servidor web ejecutado por Kura. • http://www.securityfocus.com/bid/107844 https://bugs.eclipse.org/bugs/show_bug.cgi?id=545834 • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor CWE-497: Exposure of Sensitive System Information to an Unauthorized Control Sphere •
CVSS: 5.3EPSS: 0%CPEs: 1EXPL: 0CVE-2019-10242
https://notcve.org/view.php?id=CVE-2019-10242
In Eclipse Kura versions up to 4.0.0, the SkinServlet did not checked the path passed during servlet call, potentially allowing path traversal in get requests for a limited number of file types. En Eclipse Kura en las versiones anteriores a la 4.0.0, el SkinServlet no verificó la ruta pasada durante la llamada al servlet, lo que potencialmente permite un salto de directorio al obtener solicitudes para un número limitado de tipos de archivos. • http://www.securityfocus.com/bid/107844 https://bugs.eclipse.org/bugs/show_bug.cgi?id=545835 • CWE-22: Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') •
CVSS: 10.0EPSS: 0%CPEs: 1EXPL: 0CVE-2017-7649
https://notcve.org/view.php?id=CVE-2017-7649
The network enabled distribution of Kura before 2.1.0 takes control over the device's firewall setup but does not allow IPv6 firewall rules to be configured. Still the Equinox console port 5002 is left open, allowing to log into Kura without any user credentials over unencrypted telnet and executing commands using the Equinox "exec" command. As the process is running as "root" full control over the device can be acquired. IPv6 is also left in auto-configuration mode, accepting router advertisements automatically and assigns a MAC address based IPv6 address. La distribución adaptada a la red de Kura en versiones anteriores a la 2.1.0 asume el control de la configuración del firewall del dispositivo, pero no permite la configuración de las reglas del firewall IPv6. • https://bugs.eclipse.org/bugs/show_bug.cgi?id=514681 https://github.com/eclipse/kura/issues/956 • CWE-287: Improper Authentication •