CVSS: 8.8EPSS: 7%CPEs: 1EXPL: 1CVE-2018-18982 – Nuuo Central Management - (Authenticated) SQL Server SQL Injection
https://notcve.org/view.php?id=CVE-2018-18982
NUUO CMS All versions 3.3 and prior the web server application allows injection of arbitrary SQL characters, which can be used to inject SQL into an executing statement and allow arbitrary code execution. NUUO CMS, en todas las versiones 3.3 y anteriores, la aplicación del servidor web permite la inyección de caracteres SQL arbitrarios, lo que puede emplearse para inyectar SQL en una instrucción en ejecución y permitir la ejecución de código arbitrario. • https://www.exploit-db.com/exploits/46449 https://ics-cert.us-cert.gov/advisories/ICSA-18-284-02 • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •
CVSS: 9.8EPSS: 3%CPEs: 1EXPL: 0CVE-2018-17936 – Nuuo Central Management Server 2.4 Authenticated Arbitrary File Upload
https://notcve.org/view.php?id=CVE-2018-17936
NUUO CMS All versions 3.3 and prior the application allows the upload of arbitrary files that can modify or overwrite configuration files to the server, which could allow remote code execution. NUUO CMS, en todas las versiones 3.3 y anteriores, la aplicación permite la subida de archivos arbitrarios que pueden modificar o sobrescribir los archivos de configuración en el servidor, lo que podría permitir la ejecución remota de código. • https://ics-cert.us-cert.gov/advisories/ICSA-18-284-02 • CWE-434: Unrestricted Upload of File with Dangerous Type •
CVSS: 9.8EPSS: 11%CPEs: 1EXPL: 0CVE-2018-17934 – Nuuo Central Management Server Authenticated Arbitrary File Download
https://notcve.org/view.php?id=CVE-2018-17934
NUUO CMS All versions 3.3 and prior the application allows external input to construct a pathname that is able to be resolved outside the intended directory. This could allow an attacker to impersonate a legitimate user, obtain restricted information, or execute arbitrary code. NUUO CMS, en todas las versiones 3.3 y anteriores, la aplicación permite que las entradas externas construyan un nombre de ruta que puede ser resuelto fuera del directorio planeado. Esto podría permitir que un atacante suplante a un usuario legítimo, obtenga información restringida o ejecute código arbitrario. • https://ics-cert.us-cert.gov/advisories/ICSA-18-284-02 • CWE-22: Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') •
CVSS: 9.8EPSS: 0%CPEs: 1EXPL: 0CVE-2018-17894 – NUUO CMS Session Tokens / Traversal / SQL Injection
https://notcve.org/view.php?id=CVE-2018-17894
NUUO CMS all versions 3.1 and prior, The application creates default accounts that have hard-coded passwords, which could allow an attacker to gain privileged access. En NUUO CMS, en todas las versiones 3.1 y anteriores, la aplicación crea cuentas por defecto que tienen contraseñas embebidas, lo que podría permitir que un atacante obtenga acceso privilegiado. • http://www.securityfocus.com/bid/105717 https://ics-cert.us-cert.gov/advisories/ICSA-18-284-02 • CWE-798: Use of Hard-coded Credentials •
CVSS: 9.8EPSS: 0%CPEs: 1EXPL: 0CVE-2018-17890 – NUUO CMS Session Tokens / Traversal / SQL Injection
https://notcve.org/view.php?id=CVE-2018-17890
NUUO CMS all versions 3.1 and prior, The application uses insecure and outdated software components for functionality, which could allow arbitrary code execution. En NUUO CMS, en todas las versiones 3.1 y anteriores, la aplicación emplea componentes de software inseguros y desactualizados para sus funcionalidades, lo que podría permitir la ejecución de código arbitrario. • http://www.securityfocus.com/bid/105717 https://ics-cert.us-cert.gov/advisories/ICSA-18-284-02 • CWE-477: Use of Obsolete Function •