CVE-2018-19505 – BMC Remedy 7.1 User Impersonation

https://notcve.org/view.php?id=CVE-2018-19505

Remedy AR System Server in BMC Remedy 7.1 may fail to set the correct user context in certain impersonation scenarios, which can allow a user to act with the identity of a different user, because userdata.js in the WOI:WorkOrderConsole component allows a username substitution involving a UserData_Init call. En la versión 7.1 de BMC Remedy, Remedy AR System Server podría no lograr establecer el contexto de usuario correcto en determinados escenarios de suplantación, lo que podría permitir a un usuario actuar con la identidad de otro usuario debido a que userdata.js en el componente WOI:WorkOrderConsole permite una sustitución del nombre de usuario que implica una llamada UserData_Init. An impersonation issue in BMC Remedy version 7.1 may lead to incorrect user context in Remedy AR System Server. • http://packetstormsecurity.com/files/150492/BMC-Remedy-7.1-User-Impersonation.html http://seclists.org/fulldisclosure/2018/Nov/62 http://www.securitytracker.com/id/1042177 • CWE-287: Improper Authentication •