CVSS: 9.0EPSS: 0%CPEs: 5EXPL: 0CVE-2015-4531 – EMC Documentum Content Server Privilege Escalation
https://notcve.org/view.php?id=CVE-2015-4531
EMC Documentum Content Server before 6.7SP1 P32, 6.7SP2 before P25, 7.0 before P19, 7.1 before P16, and 7.2 before P02 does not properly check authorization for subgroups of privileged groups, which allows remote authenticated sysadmins to gain super-user privileges, and bypass intended restrictions on data access and server actions, via unspecified vectors. NOTE: this vulnerability exists because of an incomplete fix for CVE-2014-4622. Vulnerabilidad en EMC Documentum Content Server en versiones anteriores a 6.7SP1 P32, 6.7SP2 en versiones anteriores a P25, 7.0 en versiones anteriores a P19, 7.1 en versiones anteriores a P16 y 7.2 en versiones anteriores a P02, no comprueba adecuadamente la autorización para subgrupos de grupos privilegiados, lo que permite a administradores de sistema remotos autenticados obtener privilegios de superusuario, y eludir las restricciones previstas en el acceso a los datos y a acciones de servidor, a través de vectores no especificados. NOTA: esta vulnerabilidad existe debido a una solución incompleta de la vulnerabilidad CVE-2014-4622. EMC Documentum Content Server suffers from a privilege escalation vulnerability. • http://seclists.org/bugtraq/2015/Aug/86 http://www.securityfocus.com/bid/76413 • CWE-264: Permissions, Privileges, and Access Controls •
CVSS: 9.0EPSS: 0%CPEs: 5EXPL: 0CVE-2015-4532 – EMC Documentum Content Server Privilege Escalation
https://notcve.org/view.php?id=CVE-2015-4532
EMC Documentum Content Server before 6.7SP1 P32, 6.7SP2 before P25, 7.0 before P19, 7.1 before P16, and 7.2 before P02 does not properly check authorization and does not properly restrict object types, which allows remote authenticated users to run save RPC commands with super-user privileges, and consequently execute arbitrary code, via unspecified vectors. NOTE: this vulnerability exists because of an incomplete fix for CVE-2014-2514. Vulnerabilidad en EMC Documentum Content Server en versiones anteriores a 6.7SP1 P32, 6.7SP2 en versiones anteriores a P25, 7.0 en versiones anteriores a P19, 7.1 en versiones anteriores a P16 y 7.2 en versiones anteriores a P02, no comprueba adecuadamente la autorización y no restringe adecuadamente los tipos de los objetos, lo que permite a usuarios remotos autenticados ejecutar comandos de guardado de RPC con privilegios de superusuario, y consecuentemente ejecutar código arbitrario, a través de vectores no especificados. NOTA: esta vulnerabilidad existe debido a una solución incompleta de la vulnerabilidad CVE-2014-2514. EMC Documentum Content Server failed to fully address privilege escalation vulnerabilities as noted in CVE-2015-4532. • http://seclists.org/bugtraq/2015/Aug/86 http://www.securityfocus.com/bid/76414 • CWE-264: Permissions, Privileges, and Access Controls •
CVSS: 9.0EPSS: 0%CPEs: 5EXPL: 0CVE-2015-4533 – OpenText Documentum Content Server SQL Injection
https://notcve.org/view.php?id=CVE-2015-4533
EMC Documentum Content Server before 6.7SP1 P32, 6.7SP2 before P25, 7.0 before P19, 7.1 before P16, and 7.2 before P02 does not properly check authorization after creation of an object, which allows remote authenticated users to execute arbitrary code with super-user privileges via a custom script. NOTE: this vulnerability exists because of an incomplete fix for CVE-2014-2513. Vulnerabilidad en EMC Documentum Content Server en versiones anteriores a 6.7SP1 P32, 6.7SP2 en versiones anteriores a P25, 7.0 en versiones anteriores a P19, 7.1 en versiones anteriores a P16 y 7.2 en versiones anteriores a P02, no comprueba adecuadamente la autorización después de la creación de un objeto, lo que permite a usuarios remotos autenticados ejecutar código arbitrario con privilegios de superusuario a través de una secuencia de comandos personalizada. NOTA: esta vulnerabilidad existe debido a una solución incompleta de la vulnerabilidad CVE-2014-2513. • http://seclists.org/bugtraq/2015/Aug/86 http://www.securityfocus.com/bid/76411 http://www.securitytracker.com/id/1033296 • CWE-264: Permissions, Privileges, and Access Controls •
CVSS: 9.0EPSS: 0%CPEs: 5EXPL: 0CVE-2015-4534
https://notcve.org/view.php?id=CVE-2015-4534
Java Method Server (JMS) in EMC Documentum Content Server before 6.7SP1 P32, 6.7SP2 before P25, 7.0 before P19, 7.1 before P16, and 7.2 before P02 allows remote authenticated users to execute arbitrary code by forging a signature for a query string that lacks the method_verb parameter. Vulnerabilidad en Java Method Server (JMS) en EMC Documentum Content Server en versiones anteriores a 6.7SP1 P32, 6.7SP2 en versiones anteriores a P25, 7.0 en versiones anteriores a P19, 7.1 en versiones anteriores a P16 y 7.2 en versiones anteriores a P02, permite a usuarios remotos autenticados ejecutar código arbitrario mediante la falsificación de una firma para una cadena de consulta que carece del parámetro method_verb. • http://seclists.org/bugtraq/2015/Aug/86 http://www.securityfocus.com/bid/76410 http://www.securitytracker.com/id/1033296 • CWE-20: Improper Input Validation •
CVSS: 7.5EPSS: 0%CPEs: 5EXPL: 0CVE-2015-4535
https://notcve.org/view.php?id=CVE-2015-4535
Java Method Server (JMS) in EMC Documentum Content Server before 6.7SP1 P32, 6.7SP2 before P25, 7.0 before P19, 7.1 before P16, and 7.2 before P02, when __debug_trace__ is configured, allows remote authenticated users to gain super-user privileges by leveraging the ability to read a log file containing a login ticket. Vulnerabilidad en Java Method Server (JMS) en EMC Documentum Content Server en versiones anteriores a 6.7SP1 P32, 6.7SP2 en versiones anteriores a P25, 7.0 en versiones anteriores a P19, 7.1 en versiones anteriores a P16 y 7.2 en versiones anteriores a P02, cuando está configurado __debug_trace__, permite a usuarios remotos autenticados conseguir privilegios de superusuario aprovechándose de la capacidad para leer un archivo de registro que contiene un ticket de registro. • http://seclists.org/bugtraq/2015/Aug/86 http://www.securityfocus.com/bid/76409 http://www.securitytracker.com/id/1033296 • CWE-264: Permissions, Privileges, and Access Controls •