CVSS: 4.3EPSS: 0%CPEs: 5EXPL: 0CVE-2014-4778
https://notcve.org/view.php?id=CVE-2014-4778
IBM License Metric Tool 9 before 9.1.0.2 and Endpoint Manager for Software Use Analysis 9 before 9.1.0.2 do not send an X-Frame-Options HTTP header in response to requests for the login page, which allows remote attackers to conduct clickjacking attacks via vectors involving a FRAME element. IBM License Metric Tool 9 anterior a 9.1.0.2 y Endpoint Manager for Software Use Analysis 9 anterior a 9.1.0.2 no envían una cabecera HTTP de opciones X-Frame en respuesta a solicitudes para la página de inicio de sesión, lo que permite a atacantes remotos realizar ataques de clickjacking a través de vectores que involucran un elemento FRAME. • http://www-01.ibm.com/support/docview.wss?uid=swg21701389 • CWE-20: Improper Input Validation •
CVSS: 6.8EPSS: 0%CPEs: 5EXPL: 0CVE-2014-4774
https://notcve.org/view.php?id=CVE-2014-4774
Cross-site request forgery (CSRF) vulnerability in the login page in IBM License Metric Tool 9 before 9.1.0.2 and Endpoint Manager for Software Use Analysis 9 before 9.1.0.2 allows remote attackers to hijack the authentication of arbitrary users via vectors involving a FRAME element. Vulnerabilidad de CSRF en la página de inicio de sesión en IBM License Metric Tool 9 anterior a 9.1.0.2 y Endpoint Manager for Software Use Analysis 9 anterior a 9.1.0.2 permite a atacantes remotos secuestrar la autenticación de usuarios arbitrarios a través de vectores que involucran un elemento FRAME. • http://www-01.ibm.com/support/docview.wss?uid=swg21701389 • CWE-352: Cross-Site Request Forgery (CSRF) •
CVSS: 4.3EPSS: 0%CPEs: 2EXPL: 0CVE-2015-1915
https://notcve.org/view.php?id=CVE-2015-1915
The Endpoint Manager for Remote Control component in IBM Tivoli Endpoint Manager for Lifecycle Management 9.0.1 before IF6 and 9.1.0 before IF6 does not set the secure flag for the session cookie in an https session, which makes it easier for remote attackers to capture this cookie by intercepting its transmission within an http session. El componente Endpoint Manager for Remote Control en IBM Tivoli Endpoint Manager for Lifecycle Management 9.0.1 anterior a IF6 y 9.1.0 anterior a IF6 no configura el indicador de seguridad para la cookie de sesión en una sesión https, lo que facilita a atacantes remotos capturar esta cookie mediante la intercepción de su transmisión dentro de una sesión http. • http://www-01.ibm.com/support/docview.wss?uid=swg1IV72069 http://www-01.ibm.com/support/docview.wss?uid=swg21882571 http://www.securityfocus.com/bid/74193 • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •