CVSS: 9.0EPSS: 15%CPEs: 1EXPL: 0CVE-2024-28353
https://notcve.org/view.php?id=CVE-2024-28353
15 Mar 2024 — There is a command injection vulnerability in the TRENDnet TEW-827DRU router with firmware version 2.10B01. An attacker can inject commands into the post request parameters usapps.config.smb_admin_name in the apply.cgi interface, thereby gaining root shell privileges. Existe una vulnerabilidad de inyección de comandos en el router TRENDnet TEW-827DRU con la versión de firmware 2.10B01. Un atacante puede inyectar comandos en los parámetros de solicitud posterior usapps.config.smb_admin_name en la interfaz ap... • https://warp-desk-89d.notion.site/TEW-827DRU-5c40fb20572148f0b00f329d69273791 • CWE-77: Improper Neutralization of Special Elements used in a Command ('Command Injection') •
CVSS: 10.0EPSS: 5%CPEs: 1EXPL: 0CVE-2024-28354
https://notcve.org/view.php?id=CVE-2024-28354
15 Mar 2024 — There is a command injection vulnerability in the TRENDnet TEW-827DRU router with firmware version 2.10B01. An attacker can inject commands into the post request parameters usapps.@smb[%d].username in the apply.cgi interface, thereby gaining root shell privileges. Existe una vulnerabilidad de inyección de comandos en el router TRENDnet TEW-827DRU con la versión de firmware 2.10B01. Un atacante puede inyectar comandos en los parámetros de solicitud posterior usapps. • https://warp-desk-89d.notion.site/TEW-827DRU-c732df50b2454ecaa5451b02f3adda6a • CWE-77: Improper Neutralization of Special Elements used in a Command ('Command Injection') •
CVSS: 8.8EPSS: 0%CPEs: 2EXPL: 1CVE-2021-20165
https://notcve.org/view.php?id=CVE-2021-20165
30 Dec 2021 — Trendnet AC2600 TEW-827DRU version 2.08B01 does not properly implement csrf protections. Most pages lack proper usage of CSRF protections or mitigations. Additionally, pages that do make use of CSRF tokens are trivially bypassable as the server does not appear to validate them properly (i.e. re-using an old token or finding the token thru some other method is possible). Trendnet AC2600 TEW-827DRU versión 2.08B01, no implementa correctamente las protecciones csrf. La mayoría de las páginas carecen de un uso ... • https://www.tenable.com/security/research/tra-2021-54 • CWE-352: Cross-Site Request Forgery (CSRF) •
CVSS: 4.9EPSS: 0%CPEs: 2EXPL: 0CVE-2021-20164
https://notcve.org/view.php?id=CVE-2021-20164
30 Dec 2021 — Trendnet AC2600 TEW-827DRU version 2.08B01 improperly discloses credentials for the smb functionality of the device. Usernames and passwords for all smb users are revealed in plaintext on the smbserver.asp page. Trendnet AC2600 TEW-827DRU versión 2.08B01, revela incorrectamente las credenciales para la funcionalidad smb del dispositivo. Los nombres de usuario y las contraseñas de todos los usuarios smb se revelan en texto plano en la página smbserver.asp. • https://www.tenable.com/security/research/tra-2021-54 • CWE-522: Insufficiently Protected Credentials •
CVSS: 5.3EPSS: 57%CPEs: 2EXPL: 0CVE-2021-20150
https://notcve.org/view.php?id=CVE-2021-20150
30 Dec 2021 — Trendnet AC2600 TEW-827DRU version 2.08B01 improperly discloses information via redirection from the setup wizard. Authentication can be bypassed and a user may view information as Admin by manually browsing to the setup wizard and forcing it to redirect to the desired page. Trendnet AC2600 TEW-827DRU versión 2.08B01, revela inapropiadamente información por medio de la redirección del asistente de configuración. La autenticación puede ser omitida y un usuario puede visualizar la información como administrad... • https://www.tenable.com/security/research/tra-2021-54 • CWE-306: Missing Authentication for Critical Function •
CVSS: 10.0EPSS: 0%CPEs: 2EXPL: 0CVE-2021-20151
https://notcve.org/view.php?id=CVE-2021-20151
30 Dec 2021 — Trendnet AC2600 TEW-827DRU version 2.08B01 contains a flaw in the session management for the device. The router's management software manages web sessions based on IP address rather than verifying client cookies/session tokens/etc. This allows an attacker (whether from a different computer, different web browser on the same machine, etc.) to take over an existing session. This does require the attacker to be able to spoof or take over original IP address of the original user's session. Trendnet AC2600 TEW-8... • https://www.tenable.com/security/research/tra-2021-54 • CWE-384: Session Fixation •
CVSS: 9.8EPSS: 0%CPEs: 2EXPL: 0CVE-2021-20149
https://notcve.org/view.php?id=CVE-2021-20149
30 Dec 2021 — Trendnet AC2600 TEW-827DRU version 2.08B01 does not have sufficient access controls for the WAN interface. The default iptables ruleset for governing access to services on the device only apply to IPv4. All services running on the devices are accessible via the WAN interface via IPv6 by default. Trendnet AC2600 TEW-827DRU versión 2.08B01, no presenta suficientes controles de acceso para la interfaz WAN. El conjunto de reglas iptables por defecto para gobernar el acceso a los servicios en el dispositivo sólo... • https://www.tenable.com/security/research/tra-2021-54 • CWE-863: Incorrect Authorization •
CVSS: 4.9EPSS: 0%CPEs: 2EXPL: 0CVE-2021-20163
https://notcve.org/view.php?id=CVE-2021-20163
30 Dec 2021 — Trendnet AC2600 TEW-827DRU version 2.08B01 leaks information via the ftp web page. Usernames and passwords for all ftp users are revealed in plaintext on the ftpserver.asp page. Trendnet AC2600 TEW-827DRU versión 2.08B01, filtra información por medio de la página web ftp. Los nombres de usuario y las contraseñas de todos los usuarios de ftp se revelan en texto plano en la página ftpserver.asp. • https://www.tenable.com/security/research/tra-2021-54 • CWE-522: Insufficiently Protected Credentials •
CVSS: 7.2EPSS: 0%CPEs: 2EXPL: 0CVE-2021-20161
https://notcve.org/view.php?id=CVE-2021-20161
30 Dec 2021 — Trendnet AC2600 TEW-827DRU version 2.08B01 does not have sufficient protections for the UART functionality. A malicious actor with physical access to the device is able to connect to the UART port via a serial connection. No username or password is required and the user is given a root shell with full control of the device. Trendnet AC2600 TEW-827DRU versión 2.08B01, no presenta suficientes protecciones para la funcionalidad UART. Un actor malicioso con acceso físico al dispositivo es capaz de conectarse al... • https://www.tenable.com/security/research/tra-2021-54 • CWE-287: Improper Authentication CWE-306: Missing Authentication for Critical Function •
CVSS: 4.9EPSS: 0%CPEs: 2EXPL: 0CVE-2021-20162
https://notcve.org/view.php?id=CVE-2021-20162
30 Dec 2021 — Trendnet AC2600 TEW-827DRU version 2.08B01 stores credentials in plaintext. Usernames and passwords are stored in plaintext in the config files on the device. For example, /etc/config/cameo contains the admin password in plaintext. Trendnet AC2600 TEW-827DRU versión 2.08B01, almacena las credenciales en texto plano. Los nombres de usuario y las contraseñas se almacenan en texto plano en los archivos de configuración del dispositivo. • https://www.tenable.com/security/research/tra-2021-54 • CWE-312: Cleartext Storage of Sensitive Information •