CVE-2017-14526 – OpenText Documentum Administrator / Webtop XXE Injection
https://notcve.org/view.php?id=CVE-2017-14526
Multiple XML external entity (XXE) vulnerabilities in the OpenText Documentum Administrator 7.2.0180.0055 allow remote authenticated users to list the contents of arbitrary directories, read arbitrary files, cause a denial of service, or, on Windows, obtain Documentum user hashes via a (1) crafted DTD, involving unspecified XML structures in a request to xda/com/documentum/ucf/server/transport/impl/GAIRConnector or crafted XML file in a MediaProfile file (2) import or (3) check in. Múltiples vulnerabilidades de XEE (XML External Entity) en la versión 7.2.0180.0055 de OpenText Documentum Administrator permiten que los usuarios autenticados remotos listen el contenido de directorios remotos, lean archivos arbitrarios, provoquen una denegación de servicio o, en Windows, obtengan hashes de usuario de Documentum mediante (1) un archivo DTD manipulado, que involucra estructuras XML sin especificar en una petición a xda/com/documentum/ucf/server/transport/impl/GAIRConnector o un archivo XML manipulado en un archivo MediaProfile (2) importado o (3) insertado en el repositorio. OpenText Documentum Administrator version 7.2.0180.0055 and Documentum Webtop version 6.8.0160.0073 suffer from XML external entity injection vulnerabilities. • http://seclists.org/fulldisclosure/2017/Sep/58 https://knowledge.opentext.com/knowledge/llisapi.dll/Open/68982774 • CWE-611: Improper Restriction of XML External Entity Reference •
CVE-2017-14527 – OpenText Documentum Administrator / Webtop XXE Injection
https://notcve.org/view.php?id=CVE-2017-14527
Multiple XML external entity (XXE) vulnerabilities in the OpenText Documentum Webtop 6.8.0160.0073 allow remote authenticated users to list the contents of arbitrary directories, read arbitrary files, cause a denial of service, or, on Windows, obtain Documentum user hashes via a (1) crafted DTD, involving unspecified XML structures in a request to xda/com/documentum/ucf/server/transport/impl/GAIRConnector or crafted XML file in a MediaProfile file (2) import or (3) check in. Múltiples vulnerabilidades de XEE (XML External Entity) en la versión 6.8.0160.0073 de OpenText Documentum Webtop permiten que los usuarios autenticados remotos listen el contenido de directorios remotos, lean archivos arbitrarios, provoquen una denegación de servicio o, en Windows, obtengan hashes de usuario Documentum mediante (1) un archivo DTD manipulado, que implica estructuras XML sin especificar en una petición a xda/com/documentum/ucf/server/transport/impl/GAIRConnector o un archivo XML manipulado en un archivo MediaProfile (2) importado o (3) insertado en el repositorio. OpenText Documentum Administrator version 7.2.0180.0055 and Documentum Webtop version 6.8.0160.0073 suffer from XML external entity injection vulnerabilities. • http://seclists.org/fulldisclosure/2017/Sep/58 https://knowledge.opentext.com/knowledge/llisapi.dll/Open/68982774 • CWE-611: Improper Restriction of XML External Entity Reference •
CVE-2017-14524 – OpenText Documentum Administrator / Webtop Open Redirection
https://notcve.org/view.php?id=CVE-2017-14524
Multiple open redirect vulnerabilities in OpenText Documentum Administrator 7.2.0180.0055 allow remote attackers to redirect users to arbitrary web sites and conduct phishing attacks via a (1) URL in the startat parameter to xda/help/en/default.htm or (2) /%09/ (slash encoded horizontal tab slash) followed by a domain in the redirectUrl parameter to xda/component/virtuallinkconnect. Múltiples vulnerabilidades de redirección abierta en OpenText Documentum Administrator 7.2.0180.0055 permiten que los atacantes remotos redireccionen a los usuarios a sitios web arbitrarios y lleven a cabo ataques de phishing mediante (1) una URL en el parámetro startat a xda/help/en/default.htm o (2) /%09/ (barra diagonal + código ascii de tabulador horizontal + barra diagonal) seguido por un dominio en el parámetro redirectUrl en xda/component/virtuallinkconnect. OpenText Documentum Administrator version 7.2.0180.0055 and Documentum Webtop version 6.8.0160.0073 suffer from an open redirection vulnerability. • http://seclists.org/fulldisclosure/2017/Sep/57 https://knowledge.opentext.com/knowledge/llisapi.dll/Open/68982774 • CWE-601: URL Redirection to Untrusted Site ('Open Redirect') •
CVE-2017-14525 – OpenText Documentum Administrator / Webtop Open Redirection
https://notcve.org/view.php?id=CVE-2017-14525
Multiple open redirect vulnerabilities in OpenText Documentum Webtop 6.8.0160.0073 allow remote attackers to redirect users to arbitrary web sites and conduct phishing attacks via a (1) URL in the startat parameter to xda/help/en/default.htm or (2) /%09/ (slash encoded horizontal tab slash) followed by a domain in the redirectUrl parameter to xda/component/virtuallinkconnect. Múltiples vulnerabilidades de redirección abierta en OpenText Documentum Webtop versión 6.8.0160.0073 permiten que los atacantes remotos redireccionen a los usuarios a sitios web arbitrarios y lleven a cabo ataques de phishing mediante (1) una URL en el parámetro startat a xda/help/en/default.htm o (2) /%09/ (barra diagonal + código ascii de tabulador horizontal + barra diagonal) seguido por un dominio en el parámetro redirectUrl en xda/component/virtuallinkconnect. OpenText Documentum Administrator version 7.2.0180.0055 and Documentum Webtop version 6.8.0160.0073 suffer from an open redirection vulnerability. • http://seclists.org/fulldisclosure/2017/Sep/57 https://knowledge.opentext.com/knowledge/llisapi.dll/Open/68982774 • CWE-601: URL Redirection to Untrusted Site ('Open Redirect') •