CVSS: 8.8EPSS: 0%CPEs: 2EXPL: 1CVE-2021-20165
https://notcve.org/view.php?id=CVE-2021-20165
Trendnet AC2600 TEW-827DRU version 2.08B01 does not properly implement csrf protections. Most pages lack proper usage of CSRF protections or mitigations. Additionally, pages that do make use of CSRF tokens are trivially bypassable as the server does not appear to validate them properly (i.e. re-using an old token or finding the token thru some other method is possible). Trendnet AC2600 TEW-827DRU versión 2.08B01, no implementa correctamente las protecciones csrf. La mayoría de las páginas carecen de un uso adecuado de las protecciones o mitigaciones de CSRF. • https://www.tenable.com/security/research/tra-2021-54 • CWE-352: Cross-Site Request Forgery (CSRF) •
CVSS: 4.9EPSS: 0%CPEs: 2EXPL: 0CVE-2021-20164
https://notcve.org/view.php?id=CVE-2021-20164
Trendnet AC2600 TEW-827DRU version 2.08B01 improperly discloses credentials for the smb functionality of the device. Usernames and passwords for all smb users are revealed in plaintext on the smbserver.asp page. Trendnet AC2600 TEW-827DRU versión 2.08B01, revela incorrectamente las credenciales para la funcionalidad smb del dispositivo. Los nombres de usuario y las contraseñas de todos los usuarios smb se revelan en texto plano en la página smbserver.asp. • https://www.tenable.com/security/research/tra-2021-54 • CWE-522: Insufficiently Protected Credentials •
CVSS: 5.3EPSS: 11%CPEs: 2EXPL: 0CVE-2021-20150
https://notcve.org/view.php?id=CVE-2021-20150
Trendnet AC2600 TEW-827DRU version 2.08B01 improperly discloses information via redirection from the setup wizard. Authentication can be bypassed and a user may view information as Admin by manually browsing to the setup wizard and forcing it to redirect to the desired page. Trendnet AC2600 TEW-827DRU versión 2.08B01, revela inapropiadamente información por medio de la redirección del asistente de configuración. La autenticación puede ser omitida y un usuario puede visualizar la información como administrador al navegar manualmente al asistente de configuración y forzarlo a redirigir a la página deseada. • https://www.tenable.com/security/research/tra-2021-54 • CWE-306: Missing Authentication for Critical Function •
CVSS: 10.0EPSS: 0%CPEs: 2EXPL: 0CVE-2021-20151
https://notcve.org/view.php?id=CVE-2021-20151
Trendnet AC2600 TEW-827DRU version 2.08B01 contains a flaw in the session management for the device. The router's management software manages web sessions based on IP address rather than verifying client cookies/session tokens/etc. This allows an attacker (whether from a different computer, different web browser on the same machine, etc.) to take over an existing session. This does require the attacker to be able to spoof or take over original IP address of the original user's session. Trendnet AC2600 TEW-827DRU versión 2.08B01, contiene un fallo en la administración de sesiones del dispositivo. • https://www.tenable.com/security/research/tra-2021-54 • CWE-384: Session Fixation •
CVSS: 9.8EPSS: 0%CPEs: 2EXPL: 0CVE-2021-20149
https://notcve.org/view.php?id=CVE-2021-20149
Trendnet AC2600 TEW-827DRU version 2.08B01 does not have sufficient access controls for the WAN interface. The default iptables ruleset for governing access to services on the device only apply to IPv4. All services running on the devices are accessible via the WAN interface via IPv6 by default. Trendnet AC2600 TEW-827DRU versión 2.08B01, no presenta suficientes controles de acceso para la interfaz WAN. El conjunto de reglas iptables por defecto para gobernar el acceso a los servicios en el dispositivo sólo se aplica a IPv4. • https://www.tenable.com/security/research/tra-2021-54 • CWE-863: Incorrect Authorization •