CVE-2014-3103
https://notcve.org/view.php?id=CVE-2014-3103
The Web component in IBM Rational ClearQuest 7.1 before 7.1.2.15, 8.0.0 before 8.0.0.12, and 8.0.1 before 8.0.1.5 does not set the secure flag for the session cookie in an https session, which makes it easier for remote attackers to capture this cookie by intercepting its transmission within an http session. El componente web en IBM Rational ClearQuest 7.1 anterior a 7.1.2.15, 8.0.0 anterior a 8.0.0.12, y 8.0.1 anterior a 8.0.1.5 no configura el indicador de seguridad para la cookie de la sesión en una sesión https, lo que facilita a atacantes remotos capturar esta cookie mediante la intercepción de su transmisión dentro de una sesión http. • http://www-01.ibm.com/support/docview.wss?uid=swg21682947 https://exchange.xforce.ibmcloud.com/vulnerabilities/94270 • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •
CVE-2014-3104
https://notcve.org/view.php?id=CVE-2014-3104
IBM Rational ClearQuest 7.1 before 7.1.2.15, 8.0.0 before 8.0.0.12, and 8.0.1 before 8.0.1.5 allows remote attackers to cause a denial of service (memory consumption) via a crafted XML document containing a large number of nested entity references, a similar issue to CVE-2003-1564. IBM Rational ClearQuest 7.1 anterior a 7.1.2.15, 8.0.0 anterior a 8.0.0.12, y 8.0.1 anterior a 8.0.1.5 permite a atacantes remotos causar una denegación de servicio (consumo de memoria) a través de un documento XML manipulado que contiene un número grande de referencias de entidad anidadas, un problema similar al CVE-2003-1564. • http://www-01.ibm.com/support/docview.wss?uid=swg21682942 https://exchange.xforce.ibmcloud.com/vulnerabilities/94311 • CWE-399: Resource Management Errors •
CVE-2014-3105
https://notcve.org/view.php?id=CVE-2014-3105
The OSLC integration feature in the Web component in IBM Rational ClearQuest 7.1 before 7.1.2.15, 8.0.0 before 8.0.0.12, and 8.0.1 before 8.0.1.5 provides different error messages for failed login attempts depending on whether the username exists, which allows remote attackers to enumerate account names via a series of requests. La función de integración OSLC en el componente web en IBM Rational ClearQuest 7.1 anterior a 7.1.2.15, 8.0.0 anterior a 8.0.0.12, y 8.0.1 anterior a 8.0.1.5 proporciona mensajes de error diferentes para intentos de conexión fallidos en función de si existe el nombre de usuario, lo que permite a atacantes remotos enumerar los nombres de cuenta a través de una serie de peticiones. • http://www-01.ibm.com/support/docview.wss?uid=swg21682949 https://exchange.xforce.ibmcloud.com/vulnerabilities/94312 • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •
CVE-2014-3106
https://notcve.org/view.php?id=CVE-2014-3106
IBM Rational ClearQuest 7.1 before 7.1.2.15, 8.0.0 before 8.0.0.12, and 8.0.1 before 8.0.1.5 does not properly implement the Local Access Only protection mechanism, which allows remote attackers to bypass authentication and read files via the Help Server Administration feature. IBM Rational ClearQuest 7.1 anterior a 7.1.2.15, 8.0.0 anterior a 8.0.0.12, y 8.0.1 anterior a 8.0.1.5 no implementa debidamente el mecanismo de protección de Local Access Only, lo que permite a atacantes remotos evadir la autenticación y leer ficheros a través de funcionalidad de Ayuda de Administración del Servidor. • http://www-01.ibm.com/support/docview.wss?uid=swg21682950 https://exchange.xforce.ibmcloud.com/vulnerabilities/94313 • CWE-287: Improper Authentication •
CVE-2014-3101
https://notcve.org/view.php?id=CVE-2014-3101
The login form in the Web component in IBM Rational ClearQuest 7.1 before 7.1.2.15, 8.0.0 before 8.0.0.12, and 8.0.1 before 8.0.1.5 does not insert a delay after a failed authentication attempt, which makes it easier for remote attackers to obtain access via a brute-force attack. El formulario de inicio de sesión en el componente web en IBM Rational ClearQuest 7.1 anterior a 7.1.2.15, 8.0.0 anterior a 8.0.0.12, y 8.0.1 anterior a 8.0.1.5 no introduce un retraso después de un intento de autenticación fallido, lo que hace más fácil para atacantes remotos obtener acceso a través de un ataque de fuerza bruta. • http://www-01.ibm.com/support/docview.wss?uid=swg21682946 http://www.securitytracker.com/id/1030884 https://exchange.xforce.ibmcloud.com/vulnerabilities/94268 • CWE-287: Improper Authentication •