6 results (0.003 seconds)

CVSS: 5.0EPSS: 0%CPEs: 4EXPL: 0

The Connection Manager in IBM Lotus Mobile Connect before 6.1.4 disables the http.device.stanza blacklisting functionality for HTTP Access Services (HTTP-AS), which allows remote attackers to bypass intended access restrictions via an HTTP request that contains a disallowed User-Agent header. Connection Manager en IBM Lotus Mobile Connect anterior v6.1.4 inutiliza la funcionalidad http.device.stanza blacklisting para el acceso al servicio HTTP (HTTP-AS), lo que permite a atacantes remotos superar las restricciones de acceso establecidas a través de una petición HTTP que contiene una cabera User-Agent rechazado. • http://www-01.ibm.com/support/docview.wss?uid=swg1IZ86207 http://www-01.ibm.com/support/docview.wss?uid=swg27020327 • CWE-264: Permissions, Privileges, and Access Controls •

CVSS: 4.4EPSS: 0%CPEs: 4EXPL: 0

The Connection Manager in IBM Lotus Mobile Connect (LMC) before 6.1.4, when HTTP Access Services (HTTP-AS) is enabled, does not delete LTPA tokens in response to use of the iNotes Logoff button, which might allow physically proximate attackers to obtain access via an unattended client, related to a cookie domain mismatch. Connection Manager en IBM Lotus Mobile Connect (LMC) anterior v6.1.4, cuando el servicio de acceso HTTP (HTTP-AS) está activo, no borra los tokens LTPA en respuesta al uso del botón iNotes Logoff, lo que puede permitir a atacantes próximos físicamente obtener acceso a através de un cliente desatendido, relacionado con la cookie de dominio. • http://secunia.com/advisories/42703 http://www-01.ibm.com/support/docview.wss?uid=swg1IZ74393 http://www-01.ibm.com/support/docview.wss?uid=swg27020327 • CWE-287: Improper Authentication •

CVSS: 4.0EPSS: 0%CPEs: 4EXPL: 0

The Connection Manager in IBM Lotus Mobile Connect before 6.1.4 does not properly maintain a certain reference count, which allows remote authenticated users to cause a denial of service (IP address exhaustion) by making invalid attempts to establish sessions with the same VPN ID from multiple devices. Connection Manager en IBM Lotus Mobile Connect anterior v6.1.4 no mantiene adecuadamente cierta cuenta referenciada, lo que permite a usuarios identificados remotamente causar una denegación de servicio (agotamiento de dirección IP) por creación de peticiones inválidas para establecer sesiones con el mismo ID VPN para múltiples dispositivos. • http://secunia.com/advisories/42703 http://www-01.ibm.com/support/docview.wss?uid=swg1IZ75012 http://www-01.ibm.com/support/docview.wss?uid=swg27020327 • CWE-399: Resource Management Errors •

CVSS: 4.3EPSS: 0%CPEs: 4EXPL: 0

The Connection Manager in IBM Lotus Mobile Connect before 6.1.4, when HTTP Access Services (HTTP-AS) is enabled, does not properly process TCP connection requests, which allows remote attackers to cause a denial of service (memory consumption and HTTP-AS hang) by making many connection requests that trigger "queue size delta errors," related to a "timing hole" issue. Connection Manager en IBM Lotus Mobile Connect anterior v6.1.4, cuando el acceso de servicio HTTP (HTTP-AS) está activo, no procesa adecuadamente las peticiones a conexiones TCP, lo que permite a atacantse remotos causar una denegación de servicio (consumo de memoria y cuelgue del HTTP-AS) realizando numerosas peticiones de conexión que provocan "queue size delta errors," relacionado con el tema "timing hole". • http://www-01.ibm.com/support/docview.wss?uid=swg1IZ75163 http://www-01.ibm.com/support/docview.wss?uid=swg27020327 • CWE-399: Resource Management Errors •

CVSS: 4.3EPSS: 0%CPEs: 4EXPL: 0

Cross-site scripting (XSS) vulnerability in HTTP Access Services (HTTP-AS) in the Connection Manager in IBM Lotus Mobile Connect (LMC) before 6.1.4 allows remote attackers to inject arbitrary web script or HTML via unspecified vectors. Vulnerabilidad de ejecución de secuencias de comandos en sitios cruzados (XSS) en el servicio de acceso (HTTP-AS) en Connection Manager in IBM Lotus Mobile Connect (LMC) before 6.1.4 (LMC) anterior v6.1.4 permite a atacantes remotos inyectar código web y HTML de su elección a través de vectores no especificados. • http://securitytracker.com/id?1024871 http://www-01.ibm.com/support/docview.wss?uid=swg1IZ77536 http://www-01.ibm.com/support/docview.wss?uid=swg27020327 http://www.vupen.com/english/advisories/2010/3209 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •