CVE-2015-4537
https://notcve.org/view.php?id=CVE-2015-4537
Lockbox in EMC Documentum D2 before 4.5 uses a hardcoded passphrase when a server lacks a D2.Lockbox file, which makes it easier for remote authenticated users to decrypt admin tickets by locating this passphrase in a decompiled D2 JAR archive. Vulnerabilidad en Lockbox en EMC Documentum D2 anterior a 4.5, utiliza una frase de acceso embebida cuando a un servidor le falta el fichero D2.Lockbox, lo que hace que sea más fácil para los usuarios remotos autenticados descifrar tickets de administración mediante la localización de esta frase de acceso en un archivo D2 JAR descompilado. • http://seclists.org/bugtraq/2015/Aug/117 http://www.securitytracker.com/id/1033345 • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •
CVE-2015-0547
https://notcve.org/view.php?id=CVE-2015-0547
The D2CenterstageService.getComments service method in EMC Documentum D2 4.1 and 4.2 before 4.2 P16 and 4.5 before P03 allows remote authenticated users to conduct Documentum Query Language (DQL) injection attacks and bypass intended read-access restrictions via unspecified vectors. El método de servicio D2CenterstageService.getComments en EMC Documentum D2 4.1 y 4.2 anterior a 4.2 P16 y 4.5 anterior a P03 permite a usuarios remotos autenticados realizar ataques de inyección Documentum Query Language (DQL) y evadir las restricciones de acceso a lectura a través de vectores no especificados. • http://seclists.org/bugtraq/2015/Jul/10 http://www.securitytracker.com/id/1032769 • CWE-20: Improper Input Validation •
CVE-2015-0548
https://notcve.org/view.php?id=CVE-2015-0548
The D2DownloadService.getDownloadUrls service method in EMC Documentum D2 4.1 and 4.2 before 4.2 P16 and 4.5 before P03 allows remote authenticated users to conduct Documentum Query Language (DQL) injection attacks and bypass intended read-access restrictions via unspecified vectors. El método de servicio D2DownloadService.getDownloadUrls en EMC Documentum D2 4.1 y 4.2 anterior a 4.2 P16 y 4.5 anterior a P03 permite a usuarios remotos autenticados realizar ataques de inyección Documentum Query Language (DQL) y evadir las restricciones de acceso a lectura a través de vectores no especificados. • http://seclists.org/bugtraq/2015/Jul/10 http://www.securitytracker.com/id/1032769 • CWE-20: Improper Input Validation •
CVE-2015-0549
https://notcve.org/view.php?id=CVE-2015-0549
Cross-site scripting (XSS) vulnerability in EMC Documentum D2 before 4.5 allows remote authenticated users to inject arbitrary web script or HTML via unspecified vectors. Vulnerabilidad de XSS en EMC Documentum D2 anterior a 4.5 permite a usuarios remotos autenticados inyectar secuencias de comandos web arbitrarios o HTML a través de vectores no especificados. • http://seclists.org/bugtraq/2015/Jun/113 http://www.securitytracker.com/id/1032693 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVE-2015-0518
https://notcve.org/view.php?id=CVE-2015-0518
The Properties service in the D2FS web-service component in EMC Documentum D2 3.1 through SP1, 4.0 and 4.1 before 4.1 P22, and 4.2 before P11 allows remote authenticated users to obtain superuser privileges via an unspecified method call that modifies group permissions. El servicio Properties en el componente del servicio web D2FS en EMC Documentum D2 3.1 hasta SP1, 4.0 y 4.1 anterior a 4.1 P22, y 4.2 anterior a P11 permite a usuarios remotos autenticados obtener privilegios de superusuario a través de una llamada a un método no especificado que modifica los permisos de grupos. • http://archives.neohapsis.com/archives/bugtraq/2015-02/0031.html http://www.securityfocus.com/bid/72502 http://www.securitytracker.com/id/1031693 https://exchange.xforce.ibmcloud.com/vulnerabilities/100875 • CWE-264: Permissions, Privileges, and Access Controls •