CVSS: 6.1EPSS: 0%CPEs: 1EXPL: 1CVE-2021-39285
https://notcve.org/view.php?id=CVE-2021-39285
A XSS vulnerability exists in Versa Director Release: 16.1R2 Build: S8. An attacker can use the administration web interface URL to create a XSS based attack. Se presenta una vulnerabilidad de tipo XSS en Versa Director Versión: 16.1R2 Build: S8. Un atacante puede usar la URL de la interfaz de administración web para crear un ataque basado en XSS • https://github.com/pbgt/CVEs/blob/main/CVE-2021-39285.md https://versa-networks.com • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 8.8EPSS: 0%CPEs: 3EXPL: 0CVE-2018-16494
https://notcve.org/view.php?id=CVE-2018-16494
In VOS and overly permissive "umask" may allow for authorized users of the server to gain unauthorized access through insecure file permissions that can result in an arbitrary read, write, or execution of newly created files and directories. Insecure umask setting was present throughout the Versa servers. En VOS, un "umask" excesivamente permisivo puede permitir a usuarios autorizados del servidor conseguir acceso no autorizado mediante permisos de archivo no seguros que pueden resultar en una lectura, escritura o ejecución arbitraria de archivos y directorios recién diseñados. La configuración umask no segura estaba presente en todos los servidores de Versa • https://hackerone.com/reports/1168191 • CWE-377: Insecure Temporary File CWE-668: Exposure of Resource to Wrong Sphere •
CVSS: 8.8EPSS: 0%CPEs: 3EXPL: 0CVE-2018-16495
https://notcve.org/view.php?id=CVE-2018-16495
In VOS user session identifier (authentication token) is issued to the browser prior to authentication but is not changed after the user successfully logs into the application. Failing to issue a new session ID following a successful login introduces the possibility for an attacker to set up a trap session on the device the victim is likely to login with. En VOS, el identificador de sesión de usuario (token de autenticación) es emitido al navegador antes de la autenticación, pero no es cambiada después de que el usuario inicia sesión con pexito en la aplicación. Se produce un fallo en emitir una nueva ID de sesión después de un inicio de sesión con éxito introduce la posibilidad para un atacante de configurar una sesión trampa en el dispositivo con el que es probable que la víctima inicie sesión • https://hackerone.com/reports/1168192 • CWE-384: Session Fixation •
CVSS: 5.3EPSS: 0%CPEs: 1EXPL: 0CVE-2018-16496
https://notcve.org/view.php?id=CVE-2018-16496
In Versa Director, the un-authentication request found. En Versa Director, fue encontrada una petición de anulación de autenticación • https://hackerone.com/reports/1168193 • CWE-287: Improper Authentication •
CVSS: 7.8EPSS: 0%CPEs: 1EXPL: 0CVE-2018-16497
https://notcve.org/view.php?id=CVE-2018-16497
In Versa Analytics, the cron jobs are used for scheduling tasks by executing commands at specific dates and times on the server. If the job is run as the user root, there is a potential privilege escalation vulnerability. In this case, the job runs a script as root that is writable by users who are members of the versa group. En Versa Analytics, los trabajos cron son utilizados para programar tareas ejecutando comandos en fechas y horas específicas en el servidor. Si el trabajo se ejecuta como usuario root, se presenta una potencial vulnerabilidad de escalada de privilegios. • https://hackerone.com/reports/1168194 • CWE-269: Improper Privilege Management •