10 results (0.006 seconds)

CVSS: 8.8EPSS: 0%CPEs: 16EXPL: 0

A vulnerability in various versions of Iomega and LenovoEMC NAS products could allow an unauthenticated user to access files on NAS shares via the API. Una vulnerabilidad en varias versiones de los productos NAS de Iomega y LenovoEMC, podría permitir a un usuario no autenticado acceder a archivos en recursos compartidos de NAS por medio de la API. • https://support.lenovo.com/solutions/LEN-25557 •

CVSS: 9.8EPSS: 0%CPEs: 42EXPL: 0

For some Iomega, Lenovo, LenovoEMC NAS devices versions 4.1.402.34662 and earlier, adversaries can craft URLs to modify the Document Object Model (DOM) of the page. In addition, adversaries can inject HTML script tags and HTML tags with JavaScript handlers to execute arbitrary JavaScript with the origin of the device. Para algunos dispositivos NAS Iomega, Lenovo y LenovoEMC en versiones 4.1.402.34662 y anteriores, los adversarios pueden manipular URL para modificar el DOM (Document Object Model) de la página. Además, los adversarios pueden inyectar etiquetas de scripts HTML y etiquetas HTML con manejadores JavaScript para ejecutar JavaScript arbitrario con el origen del dispositivo. • https://support.lenovo.com/us/en/solutions/LEN-24224 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •

CVSS: 9.3EPSS: 0%CPEs: 22EXPL: 0

For some Iomega, Lenovo, LenovoEMC NAS devices versions 4.1.402.34662 and earlier, when changing the name of a share, an attacker can craft a command injection payload using backtick "``" characters in the share : name parameter. As a result, arbitrary commands may be executed as the root user. The attack requires a value __c and iomega parameter. Para algunos dispositivos NAS Iomega, Lenovo y LenovoEMC en versiones 4.1.402.34662 y anteriores, al cambiar el nombre de una compartición, un atacante puede manipular una carga útil de inyección de comandos unirse a una instalación PersonalCloud, un atacante puede manipular una carga útil de inyección de comandos utilizando caracteres de comilla hacia atrás "``" en el parámetro share : name. Como resultado, podrían ejecutarse comandos arbitrarios como el usuario root. • https://support.lenovo.com/us/en/solutions/LEN-24224 • CWE-78: Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection') •

CVSS: 6.8EPSS: 0%CPEs: 22EXPL: 0

For some Iomega, Lenovo, LenovoEMC NAS devices versions 4.1.402.34662 and earlier, the file upload functionality of the Content Explorer application is vulnerable to path traversal. As a result, users can upload files anywhere on the device's operating system as the root user. Para algunos dispositivos NAS Iomega, Lenovo y LenovoEMC en versiones 4.1.402.34662 y anteriores, la funcionalidad de subida de archivos de la aplicación Content Explorer es vulnerable a salto de directorio. Como resultado, los usuarios pueden subir archivos en cualquier parte del sistema operativo del dispositivo como usuario root. • https://support.lenovo.com/us/en/solutions/LEN-24224 • CWE-22: Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') •

CVSS: 4.7EPSS: 0%CPEs: 42EXPL: 0

For some Iomega, Lenovo, LenovoEMC NAS devices versions 4.1.402.34662 and earlier, the file name used for assets accessible through the Content Viewer application are vulnerable to self cross-site scripting self-XSS. As a result, adversaries can add files to shares accessible from the Content Viewer with a cross site scripting payload in its name, and wait for a user to try and rename the file for their payload to trigger. Para algunos dispositivos NAS Iomega, Lenovo y LenovoEMC en versiones 4.1.402.34662 y anteriores, el nombre de archivo empleado para los activos accesibles mediante la aplicación Content Viewer son vulnerables a un ataque self-Cross-Site Scripting (self-XSS). Como resultado, los adversarios pueden añadir archivos a los almacenes accesibles desde Content Viewer con una carga útil de Cross-Site Scripting (XSS) en su nombre y esperar a que un usuario intente renombrar el archivo para que se desencadene su carga útil. • https://support.lenovo.com/us/en/solutions/LEN-24224 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •