CVSS: 6.8EPSS: 0%CPEs: 54EXPL: 0CVE-2015-7441
https://notcve.org/view.php?id=CVE-2015-7441
Remote Artifact Loader (RAL) in IBM WebSphere Process Server 7 and Business Process Manager Advanced 7.5 through 7.5.1.2, 8.0 through 8.0.1.3, 8.5.0 through 8.5.0.2, 8.5.5 through 8.5.5.0, and 8.5.6 through 8.5.6.2 does not properly use SSL for its HTTPS connection, which allows remote authenticated users to obtain sensitive information or modify data via unspecified vectors. Remote Artifact Loader (RAL) en IBM WebSphere Process Server 7 y Business Process Manager Advanced 7.5 hasta la versión 7.5.1.2, 8.0 hasta la versión 8.0.1.3, 8.5.0 hasta la versión 8.5.0.2, 8.5.5 hasta la versión 8.5.5.0 y 8.5.6 hasta la versión 8.5.6.2 no utiliza adecuadamente el SSL para su conexión HTTPS, lo que permite a usuarios remotos autenticados obtener información sensible o modificar datos a través de vectores no especificados. • http://www-01.ibm.com/support/docview.wss?uid=swg1JR54760 http://www.securitytracker.com/id/1034531 http://www.securitytracker.com/id/1034532 https://www-01.ibm.com/support/docview.wss?uid=swg21971968 • CWE-17: DEPRECATED: Code •
CVSS: 3.5EPSS: 0%CPEs: 35EXPL: 0CVE-2015-4955
https://notcve.org/view.php?id=CVE-2015-4955
Cross-site scripting (XSS) vulnerability in IBM Business Process Manager (BPM) 8.0.x through 8.0.1.3, 8.5.0 through 8.5.0.1, 8.5.5 through 8.5.5.0, and 8.5.6 before 8.5.6.0 CF1 allows remote authenticated users to inject arbitrary web script or HTML via a crafted URL. Vulnerabilidad de XSS en IBM Business Process Manager (BPM) 8.0.x hasta la versión 8.0.1.3, 8.5.0 hasta la versión 8.5.0.1, 8.5.5 hasta la versión 8.5.5.0 y 8.5.6 en versiones anteriores a 8.5.6.0 CF1 permite a usuarios remotos autenticados inyectar secuencias de comandos web o HTML arbitrarios a través de una URL manipulada. • http://www-01.ibm.com/support/docview.wss?uid=swg1JR52696 http://www-01.ibm.com/support/docview.wss?uid=swg1JR53179 http://www-01.ibm.com/support/docview.wss?uid=swg1JR54007 http://www-01.ibm.com/support/docview.wss?uid=swg21966010 http://www.securitytracker.com/id/1033733 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 3.5EPSS: 0%CPEs: 27EXPL: 0CVE-2015-1904
https://notcve.org/view.php?id=CVE-2015-1904
IBM Business Process Manager (BPM) 8.0.x through 8.0.1.3, 8.5.0 through 8.5.0.1, 8.5.5 through 8.5.5.0, and 8.5.6 through 8.5.6.0, when external Enterprise Content Management (ECM) integration is enabled with a certain technical system account configuration, allows remote authenticated users to bypass intended document-access restrictions via a (1) upload or (2) download action. Vulnerabilidad en IBM Business Process Manager (BPM) 8.0.x hasta la versión 8.0.1.3, 8.5.0 hasta la versión 8.5.0.1, 8.5.5 hasta la versión 8.5.5.0, y 8.5.6 hasta la versión 8.5.6.0, cuando está habilitada la integración externa en Enterprise Content Management (ECM) con una determinada configuración técnica de cuenta de sistema, permite a usuarios remotos autenticados evadir las restriciciones destinadas al acceso a documentos a través de una acción de (1) subida o (2) descarga. • http://www-01.ibm.com/support/docview.wss?uid=swg1JR53209 http://www-01.ibm.com/support/docview.wss?uid=swg21960293 http://www.securitytracker.com/id/1033159 • CWE-264: Permissions, Privileges, and Access Controls •
CVSS: 3.5EPSS: 0%CPEs: 55EXPL: 0CVE-2015-1906
https://notcve.org/view.php?id=CVE-2015-1906
Cross-site scripting (XSS) vulnerability in the REST API in IBM Business Process Manager (BPM) 7.5.x through 7.5.1.2, 8.0.x through 8.0.1.3, 8.5.0 through 8.5.0.1, 8.5.5 through 8.5.5.0, and 8.5.6 through 8.5.6.0 allows remote authenticated users to inject arbitrary web script or HTML via a crafted URL. Vulnerabilidad de XSS en la REST API en IBM Business Process Manager (BPM) en sus versiones 7.5.x hasta la 7.5.1.2, 8.0.x hasta la 8.0.1.3, 8.5.0 hasta la 8.5.0.1, 8.5.5 hasta la 8.5.5.0 y 8.5.6 hasta la 8.5.6.0 permite a usuarios remotos autenticados realizar una inyección arbitraria de web script o HTML a través de una URL manipulada. • http://www-01.ibm.com/support/docview.wss?uid=swg1JR52772 http://www-01.ibm.com/support/docview.wss?uid=swg21700717 http://www.securitytracker.com/id/1033002 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 4.0EPSS: 0%CPEs: 51EXPL: 0CVE-2015-1905
https://notcve.org/view.php?id=CVE-2015-1905
The REST API in IBM Business Process Manager (BPM) 7.5.x through 7.5.1.2, 8.0.x through 8.0.1.3, 8.5.0 through 8.5.0.1, 8.5.5 through 8.5.5.0, and 8.5.6 through 8.5.6.0 allows remote authenticated users to bypass intended access restrictions on task-variable value changes via unspecified vectors. Vulnerabilidad en la REST API en IBM Business Process Manager (BPM) en sus versiones 7.5.x hasta la 7.5.1.2, 8.0.x hasta la 8.0.1.3, 8.5.0 hasta la 8.5.0.1, 8.5.5 hasta la 8.5.5.0 y 8.5.6 hasta la 8.5.6.0 permite a usuarios remotos autenticados evadir la restricción de intento de acceso sobre el cambio de valor task-variable a través de vectores no especificados. • http://www-01.ibm.com/support/docview.wss?uid=swg1JR52772 http://www-01.ibm.com/support/docview.wss?uid=swg21700717 http://www.securityfocus.com/bid/75977 http://www.securitytracker.com/id/1033002 • CWE-264: Permissions, Privileges, and Access Controls •