CVSS: 5.3EPSS: 0%CPEs: 2EXPL: 0CVE-2018-1480
https://notcve.org/view.php?id=CVE-2018-1480
IBM BigFix Platform 9.2.0 through 9.2.14 and 9.5 through 9.5.9 does not set the 'HttpOnly' attribute on authorization tokens or session cookies. If a Cross-Site Scripting vulnerability also existed attackers may be able to get the cookie values via malicious JavaScript and then hijack the user session. IBM X-Force ID: 140762. IBM BigFix Platform, desde la versón 9.2.0 hasta la 9.2.14 y desde la versión 9.5 hasta la 9.5.9, no establece el atributo "HttpOnly" en los tokens de autorización o en las cookies de sesión. Si también existiese una vulnerabilidad Cross-Site Scripting (XSS), los atacantes podrían obtener los valores de la cookie mediante JavaScript malicioso y, después, secuestrar la sesión de usuario. • https://exchange.xforce.ibmcloud.com/vulnerabilities/140762 https://www.ibm.com/support/docview.wss?uid=ibm10733605 • CWE-384: Session Fixation •
CVSS: 4.3EPSS: 0%CPEs: 2EXPL: 0CVE-2018-1484
https://notcve.org/view.php?id=CVE-2018-1484
IBM BigFix Platform 9.2.0 through 9.2.14 and 9.5 through 9.5.9 does not set the secure attribute on authorization tokens or session cookies. Attackers may be able to get the cookie values by sending a http:// link to a user or by planting this link in a site the user goes to. The cookie will be sent to the insecure link and the attacker can then obtain the cookie value by snooping the traffic. IBM X-Force ID: 140969. IBM BigFix Platform, desde la versión 9.2.0 hasta la 9.2.14 y de la versión 9.5 hasta la 9.5.9, no establece el atributo "secure" en los tokens de autorización o en las cookies de sesión. • https://exchange.xforce.ibmcloud.com/vulnerabilities/140969 https://www.ibm.com/support/docview.wss?uid=ibm10733605 • CWE-384: Session Fixation •
CVSS: 7.5EPSS: 0%CPEs: 2EXPL: 0CVE-2018-1476
https://notcve.org/view.php?id=CVE-2018-1476
IBM BigFix Platform 9.2.0 through 9.2.14 and 9.5 through 9.5.9 discloses sensitive information to unauthorized users. The information can be used to mount further attacks on the system. IBM X-Force ID: 140757. IBM BigFix Platform, desde la versión 9.2.0 hasta la 9.2.14 y desde la versión 9.5 hasta la 9.5.9, divulga información sensible a usuarios no autorizados. Esta información puede emplearse para ejecutar más ataques en el sistema. • https://exchange.xforce.ibmcloud.com/vulnerabilities/140757 https://www.ibm.com/support/docview.wss?uid=ibm10733605 • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •
CVSS: 5.3EPSS: 0%CPEs: 2EXPL: 0CVE-2018-1481
https://notcve.org/view.php?id=CVE-2018-1481
IBM BigFix Platform 9.2.0 through 9.2.14 and 9.5 through 9.5.9 stores sensitive information in URL parameters. This may lead to information disclosure if unauthorized parties have access to the URLs via server logs, referrer header or browser history. IBM X-Force ID: 140763. IBM BigFix Platform, de la versión 9.2.0 hasta la 9.2.14 y desde la versión 9.5 hasta la 9.5.9, almacena información sensible en parámetros de la URL. Esto podría llevar a una divulgación de información si partes no autorizadas tienen acceso a las URL mediante registros del servidor, cabeceras referrer o el historial del navegador. • https://exchange.xforce.ibmcloud.com/vulnerabilities/140763 https://www.ibm.com/support/docview.wss?uid=ibm10733605 • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •
CVSS: 6.1EPSS: 0%CPEs: 2EXPL: 0CVE-2018-1474
https://notcve.org/view.php?id=CVE-2018-1474
IBM BigFix Platform 9.2.0 through 9.2.14 and 9.5 through 9.5.9 is vulnerable to HTTP response splitting attacks, caused by improper validation of user-supplied input. A remote attacker could exploit this vulnerability to inject arbitrary HTTP headers and cause the server to return a split response, once the URL is clicked. This would allow the attacker to perform further attacks, such as Web cache poisoning or cross-site scripting, and possibly obtain sensitive information. IBM X-force ID: 140692. IBM BigFix Platform, desde la versión 9.2.0 hasta la 9.2.14 y desde la 9.5 hasta la 9.5.9 es vulnerable a ataques de separación de respuesta HTTP, provocados por la validación incorrecta de entradas proporcionadas por el usuario. • https://exchange.xforce.ibmcloud.com/vulnerabilities/140692 https://www.ibm.com/support/docview.wss?uid=ibm10733605 • CWE-74: Improper Neutralization of Special Elements in Output Used by a Downstream Component ('Injection') •