CVE-2013-2993
https://notcve.org/view.php?id=CVE-2013-2993
IBM WebSphere Commerce 6.x through 6.0.0.11 and 7.x through 7.0.0.7 does not properly perform authentication for unspecified web services, which allows remote attackers to issue requests in the context of an arbitrary user's active session via unknown vectors. IBM WebSphere Commerce 6.x a la 6.0.0.11 y 7.x a la 7.0.0.7, no realiza una autenticación adecuada para servicios web sin especificar, lo que permite a atacantes remotos emitir peticiones en el contexto de sesiones activas de usuarios a través de vectores desconocidos. • http://www-01.ibm.com/support/docview.wss?uid=swg1JR45302 http://www-01.ibm.com/support/docview.wss?uid=swg21644391 https://exchange.xforce.ibmcloud.com/vulnerabilities/84031 • CWE-287: Improper Authentication •
CVE-2013-3028
https://notcve.org/view.php?id=CVE-2013-3028
Multiple buffer overflows in mqm programs in IBM WebSphere MQ 7.0.x before 7.0.1.11, 7.1.x before 7.1.0.3, and 7.5.x before 7.5.0.2 on non-Windows platforms allow local users to gain privileges via unspecified vectors. Múltiples desbordamientos de búfer en programas mqm en IBM WebSphere MQ v7.0.x anterior a v7.0.1.11, v7.1.x anterior a v7.1.0.3, y v7.5.x anterior a v7.5.0.2 sobre plataformas no-Windows permite a usuarios locales ganar privilegios mediante vectores desconocidos. • http://www-01.ibm.com/support/docview.wss?uid=swg1IV43368 http://www-01.ibm.com/support/docview.wss?uid=swg21639001 https://exchange.xforce.ibmcloud.com/vulnerabilities/84564 • CWE-119: Improper Restriction of Operations within the Bounds of a Memory Buffer •
CVE-2013-1777
https://notcve.org/view.php?id=CVE-2013-1777
The JMX Remoting functionality in Apache Geronimo 3.x before 3.0.1, as used in IBM WebSphere Application Server (WAS) Community Edition 3.0.0.3 and other products, does not properly implement the RMI classloader, which allows remote attackers to execute arbitrary code by using the JMX connector to send a crafted serialized object. La funcionalidad JMX Remoting en Apache Geronimo versiones 3.x anteriores a 3.0.1, tal y como se usa en WebSphere Application Server (WAS) Community Edition de IBM versión 3.0.0.3 y otros productos, no implementa apropiadamente el cargador de clases RMI, lo que permite a los atacantes remotos ejecutar código arbitrario usando el conector JMX para enviar un objeto serializado diseñado. • http://archives.neohapsis.com/archives/bugtraq/2013-07/0008.html http://geronimo.apache.org/30x-security-report.html http://www-01.ibm.com/support/docview.wss?uid=swg21643282 https://issues.apache.org/jira/browse/GERONIMO-6477 • CWE-94: Improper Control of Generation of Code ('Code Injection') •
CVE-2013-0523
https://notcve.org/view.php?id=CVE-2013-0523
IBM WebSphere Commerce Enterprise 5.6.x through 5.6.1.5, 6.0.x through 6.0.0.11, and 7.0.x through 7.0.0.7 does not use a suitable encryption algorithm for storefront web requests, which allows remote attackers to obtain sensitive information via a padding oracle attack that targets certain UTF-8 processing of the krypto parameter, and leverages unspecified browser access or traffic-log access. IBM WebSphere Commerce Enterprise v5.6.x hasta v5.6.1.5,v6.0.x hasta v6.0.0.11, y v7.0.x hasta v7.0.0.7 no utiliza un algoritmo de cifrado adecuado para las solicitudes web storefront, permitiendo a atacantes remotos obtener información sensible a través de un ataque "padding oracle" que se dirige a ciertos procesamientos UTF-8 del parámetro Krypto, y aprovecha el acceso no especificado del navegador o el acceso al log de tráfico (traffic-log) • http://www-01.ibm.com/support/docview.wss?uid=swg1JR46386 http://www.vsecurity.com/advisory/20130619-1.txt http://www.vsecurity.com/resources/advisory/20130619-1 https://exchange.xforce.ibmcloud.com/vulnerabilities/82541 https://www-01.ibm.com/support/docview.wss?uid=swg21640597 • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •
CVE-2013-2950
https://notcve.org/view.php?id=CVE-2013-2950
CRLF injection vulnerability in IBM WebSphere Portal 6.1.0.x before 6.1.0.3 CF26, 6.1.5.x before 6.1.5 CF26, 7.0.0.x before 7.0.0.2 CF21, and 8.0.0.x through 8.0.0.1 CF5, when home substitution (aka uri.home.substitution) is enabled, allows remote authenticated users to inject arbitrary HTTP headers and conduct HTTP response splitting attacks via unspecified vectors. Vulnerabilidad de inyección CRLF en IBM WebSphere Portal v6.1.0.x anterior a v6.1.0.3 CF26, v6.1.5.x anterior a v6.1.5 CF26, v7.0.0.x anterior a v7.0.0.2 CF21, y v8.0.0.x hasta v8.0.0.1 CF5 cuando la sustitución home (también conocida como uri.home.substitution) esta habilitada, permite a atacantes remotos autenticados inyectar cabeceras HTTP de su elección y llevar a cabo ataques de separación de respuesta HTTP a través de vectores no especificados. • http://www-01.ibm.com/support/docview.wss?uid=swg1PM85071 http://www-01.ibm.com/support/docview.wss?uid=swg21638864 https://exchange.xforce.ibmcloud.com/vulnerabilities/83618 • CWE-94: Improper Control of Generation of Code ('Code Injection') •