3 results (0.008 seconds)

CVSS: 10.0EPSS: 0%CPEs: 1EXPL: 0

The Remote Application Server in Parallels RAS before 19.2.23975 does not segment virtualized applications from the server, which allows a remote attacker to achieve remote code execution via standard kiosk breakout techniques. El servidor de aplicaciones remotas en Parallels RAS anterior a 19.2.23975 no segmenta las aplicaciones virtualizadas del servidor, lo que permite a un atacante remoto lograr la ejecución remota de código mediante técnicas de ruptura de quiosco estándar. • https://github.com/Oracle-Security/CVEs/blob/main/Parallels%20Remote%20Server/readme.md •

CVSS: 7.1EPSS: 0%CPEs: 1EXPL: 0

Parallels Remote Application Server (RAS) allows a local attacker to retrieve certain profile password in clear text format by uploading a previously stored cyphered file by Parallels RAS. The confidentiality, availability and integrity of the information of the user could be compromised if an attacker is able to recover the profile password. Parallels Remote Application Server (RAS) permite a un atacante local recuperar determinadas contraseñas de perfil en formato de texto sin cifrar al cargar un archivo cifrado previamente almacenado por Parallels RAS. La confidencialidad, disponibilidad e integridad de la información del usuario podría estar comprometida si un atacante es capaz de recuperar la contraseña del perfil • https://www.incibe.es/en/incibe-cert/notices/aviso/parallels-remote-application-server-credentials-management-errors • CWE-255: Credentials Management Errors •

CVSS: 7.5EPSS: 1%CPEs: 1EXPL: 2

In the web interface of Parallels Remote Application Server (RAS) 15.5 Build 16140, a vulnerability exists due to improper validation of the file path when requesting a resource under the "RASHTML5Gateway" directory. A remote, unauthenticated attacker could exploit this weakness to read arbitrary files from the vulnerable system using path traversal sequences. En la interfaz web de Parallels Remote Application Server (RAS) 15.5 Build 16140, existe una vulnerabilidad debido a la validación incorrecta de la ruta de archivo al solicitar un recurso en el directorio "RASHTML5Gateway". Un atacante remoto no autenticado podría explotar esta debilidad para leer archivos arbitrarios del sistema vulnerable empleando secuencias de salto de directorio. • https://blog.runesec.com/2018/02/22/parallels-ras-path-traversal https://www.exploit-db.com/exploits/442321 • CWE-22: Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') •