CVSS: 7.1EPSS: 0%CPEs: 6EXPL: 0CVE-2018-1421
https://notcve.org/view.php?id=CVE-2018-1421
IBM WebSphere DataPower Appliances 7.1, 7.2, 7.5, 7.5.1, 7.5.2, and 7.6 is vulnerable to a XML External Entity Injection (XXE) attack when processing XML data. A remote attacker could exploit this vulnerability to expose sensitive information or consume memory resources. IBM X-Force ID: 139023. Las versiones 7.1, 7.2, 7.5, 7.5.1, 7.5.2 y 7.6 de IBM WebSphere DataPower Appliances son vulnerables a ataques de tipo XML External Entity Injection (XXE) al procesar datos XML. Un atacante remoto podría explotar esta vulnerabilidad para exponer información sensible o consumir recursos de la memoria. • http://www.ibm.com/support/docview.wss?uid=swg22015055 https://exchange.xforce.ibmcloud.com/vulnerabilities/139023 • CWE-611: Improper Restriction of XML External Entity Reference •
CVSS: 4.3EPSS: 0%CPEs: 6EXPL: 0CVE-2017-1773
https://notcve.org/view.php?id=CVE-2017-1773
IBM DataPower Gateways 7.1, 7,2, 7.5, and 7.6 could allow an attacker using man-in-the-middle techniques to spoof DNS responses to perform DNS cache poisoning and redirect Internet traffic. IBM X-Force ID: 136817. IBM DataPower Gateways 7.1, 7,2, 7.5 y 7.6 podría permitir que un atacante que emplee técnicas de Man-in-the-Middle (MitM) suplante las respuestas DNS para realizar envenenamiento de caché DNS y redireccionar el tráfico de Internet. IBM X-Force ID: 136817. • http://www.ibm.com/support/docview.wss?uid=swg22012758 https://exchange.xforce.ibmcloud.com/vulnerabilities/136817 • CWE-345: Insufficient Verification of Data Authenticity •
CVSS: 6.1EPSS: 0%CPEs: 84EXPL: 0CVE-2017-1591
https://notcve.org/view.php?id=CVE-2017-1591
IBM WebSphere DataPower Appliances 7.0.0 through 7.6 is vulnerable to cross-site scripting. This vulnerability allows users to embed arbitrary JavaScript code in the Web UI thus altering the intended functionality potentially leading to credentials disclosure within a trusted session. IBM X-Force ID: 132368. IBM WebSphere DataPower Appliances versión 7.0.0 hasta 7.6, es vulnerable a ataques de tipo cross-site scripting. Esta vulnerabilidad permite a los usuarios insertar código JavaScript arbitrario en la interfaz de usuario web, y por lo tanto, alterar la funcionalidad deseada que podría conllevar a la divulgación de credenciales dentro de una sesión confiable. • http://www.ibm.com/support/docview.wss?uid=swg22008815 http://www.securityfocus.com/bid/101021 https://exchange.xforce.ibmcloud.com/vulnerabilities/132368 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 5.0EPSS: 0%CPEs: 36EXPL: 0CVE-2015-7427
https://notcve.org/view.php?id=CVE-2015-7427
IBM DataPower Gateway appliances with firmware 6.x before 6.0.0.17, 6.0.1.x before 6.0.1.17, 7.x before 7.0.0.10, 7.1.0.x before 7.1.0.7, and 7.2.x before 7.2.0.1 do not set the secure flag for unspecified cookies in an https session, which makes it easier for remote attackers to capture these cookies by intercepting their transmission within an http session. Dispositivos IBM DataPower Gateway con firmware 6.x en versiones anteriores a 6.0.0.17, 6.0.1.x en versiones anteriores a 6.0.1.17, 7.x en versiones anteriores a 7.0.0.10, 7.1.0.x en versiones anteriores a 7.1.0.7 y 7.2.x en versiones anteriores a 7.2.0.1 no establece el indicador de seguridad para cookies no especificadas en una sesión https, lo cual hace más fácil para atacantes remotos capturar estas cookies interceptando su transmisión dentro de una sesión http. • http://www-01.ibm.com/support/docview.wss?uid=swg1IT10279 http://www-01.ibm.com/support/docview.wss?uid=swg21969342 • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •
CVSS: 2.6EPSS: 0%CPEs: 1EXPL: 0CVE-2015-7412
https://notcve.org/view.php?id=CVE-2015-7412
The GatewayScript modules on IBM DataPower Gateways with software 7.2.0.x before 7.2.0.1, when the GatewayScript decryption API or a JWE decrypt action is enabled, do not require signed ciphertext data, which makes it easier for remote attackers to obtain plaintext data via a padding-oracle attack. Los módulos GatewayScript en IBM DataPower Gateways con software 7.2.0.x en versiones anteriores a 7.2.0.1, cuando la API de descifrado GatewayScript o una acción de descifrado JWE está activada, no requiere datos de texto cifrado firmados, lo que hace que sea más fácil para los atacantes remotos obtener datos de texto plano a través de un ataque padding-oracle. • http://www-01.ibm.com/support/docview.wss?uid=swg1IT10701 http://www-01.ibm.com/support/docview.wss?uid=swg21964170 • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •