Page 2 of 42 results (0.010 seconds)

CVSS: 5.4EPSS: 0%CPEs: 2EXPL: 0

IBM BigFix Platform 9.2 and 9.5 is vulnerable to cross-site scripting. This vulnerability allows users to embed arbitrary JavaScript code in the Web UI thus altering the intended functionality potentially leading to credentials disclosure within a trusted session. IBM X-Force ID: 155885. IBM BigFix Platform 9.2 y 9.5 es vulnerable a una secuencia de comandos del tipo cross-site. Esta vulnerabilidad permite a los usuarios incrustar código JavaScript arbitrario en la Interfaz de Usuario Web, por lo tanto, alterar la funcionalidad deseada que podría conducir a la divulgación de credenciales dentro de una sesión confiable. • https://exchange.xforce.ibmcloud.com/vulnerabilities/155885 https://www.ibm.com/support/docview.wss?uid=ibm10881996 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •

CVSS: 3.3EPSS: 0%CPEs: 2EXPL: 0

IBM BigFix Platform 9.2 and 9.5 stores potentially sensitive information in process memory that could be read by a local attacker with elevated permissions. IBM X-Force ID: 155007 IBM BigFix Platform 9.2 y 9.5 almacena información potencialmente confidencial en la memoria de proceso que puede ser leída por un atacante local con permisos elevados. ID de IBM X-Force: 155007 • https://exchange.xforce.ibmcloud.com/vulnerabilities/155007 https://www.ibm.com/support/docview.wss?uid=ibm10881996 • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •

CVSS: 5.3EPSS: 0%CPEs: 2EXPL: 0

IBM BigFix Platform 9.2 and 9.5 could allow an attacker to query the relay remotely and gather information about the updates and fixlets deployed to the associated sites due to not enabling authenticated access. IBM X-Force ID: 156869. IBM BigFix Platform, en sus versiones 9.2 y 9.5, podría permitir a un atacante consultar el relay de manera remota y obtener información sobre las actualizaciones y fixlets desplegados en los sitios asociados debido a la no habilitación de un acceso autenticado. IBM X-Force ID: 156869. • http://www.ibm.com/support/docview.wss?uid=ibm10870242 http://www.rapid7.com/db/modules/auxiliary/gather/ibm_bigfix_sites_packages_enum http://www.securityfocus.com/bid/107189 https://exchange.xforce.ibmcloud.com/vulnerabilities/156869 https://www.atredis.com/blog/2019/3/18/harvesting-data-from-bigfix-relay-servers • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •

CVSS: 6.1EPSS: 0%CPEs: 2EXPL: 0

IBM BigFix Platform 9.2.0 through 9.2.14 and 9.5 through 9.5.9 could allow a remote attacker to hijack the clicking action of the victim. By persuading a victim to visit a malicious Web site, a remote attacker could exploit this vulnerability to hijack the victim's click actions and possibly launch further attacks against the victim. IBM X-Force ID: 140760. IBM BigFix Platform, desde la versión 9.2.0 hasta la 9.2.14 y de la versión 9.5 hasta la 9.5.9, podría permitir que un atacante remoto secuestre la acción de clicado de la víctima. Al convencer a una víctima para que visite un sitio web malicioso, un atacante remoto podría explotar esta vulnerabilidad para secuestrar las acciones de clicado de la víctima y lanzar más ataques contra ésta. • https://exchange.xforce.ibmcloud.com/vulnerabilities/140760 https://www.ibm.com/support/docview.wss?uid=ibm10733605 • CWE-20: Improper Input Validation •

CVSS: 4.3EPSS: 0%CPEs: 2EXPL: 0

IBM BigFix Platform 9.2.0 through 9.2.14 and 9.5 through 9.5.9 does not set the secure attribute on authorization tokens or session cookies. Attackers may be able to get the cookie values by sending a http:// link to a user or by planting this link in a site the user goes to. The cookie will be sent to the insecure link and the attacker can then obtain the cookie value by snooping the traffic. IBM X-Force ID: 140969. IBM BigFix Platform, desde la versión 9.2.0 hasta la 9.2.14 y de la versión 9.5 hasta la 9.5.9, no establece el atributo "secure" en los tokens de autorización o en las cookies de sesión. • https://exchange.xforce.ibmcloud.com/vulnerabilities/140969 https://www.ibm.com/support/docview.wss?uid=ibm10733605 • CWE-384: Session Fixation •