CVSS: 3.5EPSS: 0%CPEs: 35EXPL: 0CVE-2015-4955
https://notcve.org/view.php?id=CVE-2015-4955
Cross-site scripting (XSS) vulnerability in IBM Business Process Manager (BPM) 8.0.x through 8.0.1.3, 8.5.0 through 8.5.0.1, 8.5.5 through 8.5.5.0, and 8.5.6 before 8.5.6.0 CF1 allows remote authenticated users to inject arbitrary web script or HTML via a crafted URL. Vulnerabilidad de XSS en IBM Business Process Manager (BPM) 8.0.x hasta la versión 8.0.1.3, 8.5.0 hasta la versión 8.5.0.1, 8.5.5 hasta la versión 8.5.5.0 y 8.5.6 en versiones anteriores a 8.5.6.0 CF1 permite a usuarios remotos autenticados inyectar secuencias de comandos web o HTML arbitrarios a través de una URL manipulada. • http://www-01.ibm.com/support/docview.wss?uid=swg1JR52696 http://www-01.ibm.com/support/docview.wss?uid=swg1JR53179 http://www-01.ibm.com/support/docview.wss?uid=swg1JR54007 http://www-01.ibm.com/support/docview.wss?uid=swg21966010 http://www.securitytracker.com/id/1033733 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 3.5EPSS: 0%CPEs: 27EXPL: 0CVE-2015-1904
https://notcve.org/view.php?id=CVE-2015-1904
IBM Business Process Manager (BPM) 8.0.x through 8.0.1.3, 8.5.0 through 8.5.0.1, 8.5.5 through 8.5.5.0, and 8.5.6 through 8.5.6.0, when external Enterprise Content Management (ECM) integration is enabled with a certain technical system account configuration, allows remote authenticated users to bypass intended document-access restrictions via a (1) upload or (2) download action. Vulnerabilidad en IBM Business Process Manager (BPM) 8.0.x hasta la versión 8.0.1.3, 8.5.0 hasta la versión 8.5.0.1, 8.5.5 hasta la versión 8.5.5.0, y 8.5.6 hasta la versión 8.5.6.0, cuando está habilitada la integración externa en Enterprise Content Management (ECM) con una determinada configuración técnica de cuenta de sistema, permite a usuarios remotos autenticados evadir las restriciciones destinadas al acceso a documentos a través de una acción de (1) subida o (2) descarga. • http://www-01.ibm.com/support/docview.wss?uid=swg1JR53209 http://www-01.ibm.com/support/docview.wss?uid=swg21960293 http://www.securitytracker.com/id/1033159 • CWE-264: Permissions, Privileges, and Access Controls •
CVSS: 3.5EPSS: 0%CPEs: 55EXPL: 0CVE-2015-1906
https://notcve.org/view.php?id=CVE-2015-1906
Cross-site scripting (XSS) vulnerability in the REST API in IBM Business Process Manager (BPM) 7.5.x through 7.5.1.2, 8.0.x through 8.0.1.3, 8.5.0 through 8.5.0.1, 8.5.5 through 8.5.5.0, and 8.5.6 through 8.5.6.0 allows remote authenticated users to inject arbitrary web script or HTML via a crafted URL. Vulnerabilidad de XSS en la REST API en IBM Business Process Manager (BPM) en sus versiones 7.5.x hasta la 7.5.1.2, 8.0.x hasta la 8.0.1.3, 8.5.0 hasta la 8.5.0.1, 8.5.5 hasta la 8.5.5.0 y 8.5.6 hasta la 8.5.6.0 permite a usuarios remotos autenticados realizar una inyección arbitraria de web script o HTML a través de una URL manipulada. • http://www-01.ibm.com/support/docview.wss?uid=swg1JR52772 http://www-01.ibm.com/support/docview.wss?uid=swg21700717 http://www.securitytracker.com/id/1033002 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 4.0EPSS: 0%CPEs: 51EXPL: 0CVE-2015-1905
https://notcve.org/view.php?id=CVE-2015-1905
The REST API in IBM Business Process Manager (BPM) 7.5.x through 7.5.1.2, 8.0.x through 8.0.1.3, 8.5.0 through 8.5.0.1, 8.5.5 through 8.5.5.0, and 8.5.6 through 8.5.6.0 allows remote authenticated users to bypass intended access restrictions on task-variable value changes via unspecified vectors. Vulnerabilidad en la REST API en IBM Business Process Manager (BPM) en sus versiones 7.5.x hasta la 7.5.1.2, 8.0.x hasta la 8.0.1.3, 8.5.0 hasta la 8.5.0.1, 8.5.5 hasta la 8.5.5.0 y 8.5.6 hasta la 8.5.6.0 permite a usuarios remotos autenticados evadir la restricción de intento de acceso sobre el cambio de valor task-variable a través de vectores no especificados. • http://www-01.ibm.com/support/docview.wss?uid=swg1JR52772 http://www-01.ibm.com/support/docview.wss?uid=swg21700717 http://www.securityfocus.com/bid/75977 http://www.securitytracker.com/id/1033002 • CWE-264: Permissions, Privileges, and Access Controls •
CVSS: 9.0EPSS: 0%CPEs: 39EXPL: 0CVE-2015-1961
https://notcve.org/view.php?id=CVE-2015-1961
The REST API in IBM Business Process Manager (BPM) 7.5.x through 7.5.1.2, 8.0.x through 8.0.1.3, 8.5.0 through 8.5.0.1, 8.5.5 through 8.5.5.0, and 8.5.6 through 8.5.6.0 allows remote authenticated users to bypass intended access restrictions and execute arbitrary JavaScript code on the server via an unspecified API call. La REST API en IBM Business Process Manager (BPM) 7.5.x hasta 7.5.1.2, 8.0.x hasta 8.0.1.3, 8.5.0 hasta 8.5.0.1, 8.5.5 hasta 8.5.5.0 y 8.5.6 hasta 8.5.6.0, permite a usuarios remotos autenticados saltarse las restricciones de acceso y ejecutar código JavaScript arbitrario en el servidor a través de una llamada a la API no especificada. • http://www-01.ibm.com/support/docview.wss?uid=swg1JR53356 http://www-01.ibm.com/support/docview.wss?uid=swg21959052 http://www.securityfocus.com/bid/75536 http://www.securitytracker.com/id/1032972 • CWE-284: Improper Access Control •