CVSS: 6.1EPSS: 0%CPEs: 2EXPL: 0CVE-2021-21738
https://notcve.org/view.php?id=CVE-2021-21738
ZTE's big video business platform has two reflective cross-site scripting (XSS) vulnerabilities. Due to insufficient input verification, the attacker could implement XSS attacks by tampering with the parameters, to affect the operations of valid users. This affects: <ZXIPTV><ZXIPTV-EAS_PV5.06.04.09> La plataforma de negocios de vídeo grande de ZTE presenta dos vulnerabilidades de tipo cross-site scripting (XSS) reflejadas. Debido a la insuficiente verificación de entrada, el atacante podría implementar ataques de tipo XSS al manipular los parámetros, para afectar las operaciones de usuarios válidos. Esto afecta a: • https://support.zte.com.cn/support/news/LoopholeInfoDetail.aspx?newsId=1016764 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 9.1EPSS: 0%CPEs: 2EXPL: 0CVE-2020-6874
https://notcve.org/view.php?id=CVE-2020-6874
A ZTE product is impacted by the cryptographic issues vulnerability. The encryption algorithm is not properly used, so remote attackers could use this vulnerability for account credential enumeration attack or brute-force attack for password guessing. This affects: ZXIPTV, ZXIPTV-WEB-PV5.09.08.04. Un producto ZTE está afectado por una vulnerabilidad de problemas criptográficos. El algoritmo de cifrado no es utilizado apropiadamente, por lo que los atacantes remotos podrían usar esta vulnerabilidad para ataques de enumeración de credenciales de cuentas o ataques de fuerza bruta para adivinar contraseñas. • http://support.zte.com.cn/support/news/LoopholeInfoDetail.aspx?newsId=1013463 • CWE-327: Use of a Broken or Risky Cryptographic Algorithm CWE-522: Insufficiently Protected Credentials •
CVSS: 7.5EPSS: 0%CPEs: 2EXPL: 0CVE-2017-10937
https://notcve.org/view.php?id=CVE-2017-10937
SQL injection vulnerability in all versions prior to V2.01.05.09 of the ZTE ZXIPTV-UCM product allows remote attackers to execute arbitrary SQL commands via the opertype parameter, resulting in the disclosure of database information. Vulnerabilidad de inyección SQL en todas las versiones anteriores a la V2.01.05.09 del producto ZTE ZXIPTV-UCM permite que atacantes remotos ejecuten comandos SQL arbitrarios mediante el parámetro opertype, lo que resulta en la divulgación de información de la base de datos. • http://support.zte.com.cn/support/news/LoopholeInfoDetail.aspx?newsId=1008782 • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •
CVSS: 9.8EPSS: 0%CPEs: 2EXPL: 0CVE-2017-10934
https://notcve.org/view.php?id=CVE-2017-10934
All versions prior to V5.09.02.02T4 of the ZTE ZXIPTV-EPG product use the Java RMI service in which the servers use the Apache Commons Collections (ACC) library that may result in Java deserialization vulnerabilities. An unauthenticated remote attacker can exploit the vulnerabilities by sending a crafted RMI request to execute arbitrary code on the target host. Todas las versiones anteriores a la V5.09.02.02T4 del producto ZTE ZXIPTV-EPG emplean el servicio Java RMI por el que los servidores emplean la biblioteca Apache Commons Collections (ACC), lo que podría resultar en vulnerabilidades de deserialización Java. Un atacante remoto no autenticado puede explotar estas vulnerabilidades mediante el envío de una petición RMI para ejecutar código arbitrario en el host objetivo. • http://support.zte.com.cn/support/news/LoopholeInfoDetail.aspx?newsId=1008682 • CWE-502: Deserialization of Untrusted Data •