CVE-2019-12254

Опубликовано: 06 мая 2022

Источник: nvd

CVSS3: 9.8

CVSS2: 10

EPSS Низкий

Описание

In multiple Tecson Tankspion and GOKs SmartBox 4 products the affected application doesn't properly restrict access to an endpoint that is responsible for saving settings, to a unauthenticated user with limited access rights. Based on the lack of adequately implemented access-control rules, by accessing a specific uniform resource locator (URL) on the web server, a malicious user is able to change the application settings without authenticating at all, which violates originally laid ACL rules.

Ссылки

https://cert.vde.com/en/advisories/VDE-2019-012/
Third Party Advisory
https://cert.vde.com/en/advisories/VDE-2019-012/
Third Party Advisory

Уязвимые конфигурации

Конфигурация 1

Одновременно

cpe:2.3:o:gok:smartbox_4_lan_firmware:*:*:*:*:*:*:*:*

cpe:2.3:h:gok:smartbox_4_lan:-:*:*:*:*:*:*:*

Конфигурация 2

Одновременно

cpe:2.3:o:gok:smartbox_4_lan_pro_firmware:*:*:*:*:*:*:*:*

cpe:2.3:h:gok:smartbox_4_lan_pro:-:*:*:*:*:*:*:*

Конфигурация 3

Одновременно

cpe:2.3:o:tecson:lx-q-net_firmware:*:*:*:*:*:*:*:*

cpe:2.3:h:tecson:lx-q-net:-:*:*:*:*:*:*:*

Конфигурация 4

Одновременно

cpe:2.3:o:tecson:lx-net_firmware:*:*:*:*:*:*:*:*

cpe:2.3:h:tecson:lx-net:-:*:*:*:*:*:*:*

Конфигурация 5

Одновременно

cpe:2.3:o:tecson:e-litro_net_firmware:*:*:*:*:*:*:*:*

cpe:2.3:h:tecson:e-litro_net:-:*:*:*:*:*:*:*

EPSS

Процентиль: 74%

0.00812

Низкий

9.8 Critical

CVSS3

10 Critical

CVSS2

Дефекты

CWE-287

Связанные уязвимости

GHSA-rhv8-wfm8-gjqj

CVSS3: 9.8

github

почти 4 года назад

EPSS

Процентиль: 74%

0.00812

Низкий

9.8 Critical

CVSS3

10 Critical

CVSS2

Дефекты

CWE-287