CVSS: 6.4EPSS: 0%CPEs: 2EXPL: 1CVE-2023-49228
https://notcve.org/view.php?id=CVE-2023-49228
28 Dec 2023 — An issue was discovered in Peplink Balance Two before 8.4.0. Console port authentication uses hard-coded credentials, which allows an attacker with physical access and sufficient knowledge to execute arbitrary commands as root. Se descubrió un problema en Peplink Balance Two antes de 8.4.0. La autenticación del puerto de consola utiliza credenciales codificadas, lo que permite a un atacante con acceso físico y conocimiento suficiente ejecutar comandos arbitrarios como root. • https://www.synacktiv.com/publications%253Ffield_tags_target_id%253D4 • CWE-798: Use of Hard-coded Credentials •
CVSS: 4.3EPSS: 0%CPEs: 2EXPL: 1CVE-2023-49229
https://notcve.org/view.php?id=CVE-2023-49229
28 Dec 2023 — An issue was discovered in Peplink Balance Two before 8.4.0. A missing authorization check in the administration web service allows read-only, unprivileged users to obtain sensitive information about the device configuration. Se descubrió un problema en Peplink Balance Two antes de 8.4.0. Una verificación de autorización faltante en el servicio web de administración permite a los usuarios sin privilegios y de solo lectura obtener información confidencial sobre la configuración del dispositivo. • https://www.synacktiv.com/publications%253Ffield_tags_target_id%253D4 • CWE-862: Missing Authorization •
CVSS: 10.0EPSS: 0%CPEs: 2EXPL: 1CVE-2023-49230
https://notcve.org/view.php?id=CVE-2023-49230
28 Dec 2023 — An issue was discovered in Peplink Balance Two before 8.4.0. A missing authorization check in captive portals allows attackers to modify the portals' configurations without prior authentication. Se descubrió un problema en Peplink Balance Two antes de 8.4.0. Una verificación de autorización faltante en portales cautivos permite a los atacantes modificar las configuraciones de los portales sin autenticación previa. • https://www.synacktiv.com/publications%253Ffield_tags_target_id%253D4 • CWE-862: Missing Authorization •
CVSS: 8.3EPSS: 0%CPEs: 2EXPL: 1CVE-2023-49226
https://notcve.org/view.php?id=CVE-2023-49226
25 Dec 2023 — An issue was discovered in Peplink Balance Two before 8.4.0. Command injection in the traceroute feature of the administration console allows users with admin privileges to execute arbitrary commands as root. Se descubrió un problema en Peplink Balance Two antes de 8.4.0. La inyección de comandos en la función traceroute de la consola de administración permite a los usuarios con privilegios de administrador ejecutar comandos arbitrarios como root. • https://www.synacktiv.com/publications%253Ffield_tags_target_id%253D4 • CWE-77: Improper Neutralization of Special Elements used in a Command ('Command Injection') •
CVSS: 7.5EPSS: 0%CPEs: 114EXPL: 1CVE-2020-24246
https://notcve.org/view.php?id=CVE-2020-24246
07 Oct 2020 — Peplink Balance before 8.1.0rc1 allows an unauthenticated attacker to download PHP configuration files (/filemanager/php/connector.php) from Web Admin. Peplink Balance versiones anteriores a 8.1.0rc1, permite a un atacante no autenticado descargar archivos de configuración PHP (archivo /filemanager/php/connector.php) desde Web Admin • https://blog.bssi.fr/cve-2020-24246-leaking-source-file-using-the-web-admin-interface-of-peplink-balance •