CVSS: 5.4EPSS: 0%CPEs: 26EXPL: 0CVE-2015-5009
https://notcve.org/view.php?id=CVE-2015-5009
Cross-site scripting (XSS) vulnerability in IBM WebSphere Commerce 6.0 through FP11, 6.0 Feature Pack 4, 7.0 through FP9, 7.0 Feature Pack 5 through 8, and 8.0 before 8.0.0.1 allows remote authenticated users to inject arbitrary web script or HTML via a crafted URL. Vulnerabilidad de XSS en IBM WebSphere Commerce 6.0 hasta la versión FP11, 6.0 Feature Pack 4, 7.0 hasta la versión FP9, 7.0 Feature Pack 5 hasta la versión 8 y 8.0 en versiones anteriores a 8.0.0.1 permite a usuarios remotos autenticados inyectar secuencias de comandos web o HTML arbitrarios a través de una URL manipulada. • http://www-01.ibm.com/support/docview.wss?uid=swg1JR54264 http://www-01.ibm.com/support/docview.wss?uid=swg1JR54265 http://www-01.ibm.com/support/docview.wss?uid=swg1JR54432 http://www-01.ibm.com/support/docview.wss?uid=swg1JR54824 http://www-01.ibm.com/support/docview.wss? • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 6.1EPSS: 0%CPEs: 26EXPL: 0CVE-2015-5008
https://notcve.org/view.php?id=CVE-2015-5008
Cross-site scripting (XSS) vulnerability in IBM WebSphere Commerce 6.0 through FP11, 6.0 Feature Pack 4, 7.0 through FP9, 7.0 Feature Pack 5 through 8, and 8.0 before 8.0.0.1 allows remote attackers to inject arbitrary web script or HTML via a crafted URL. Vulnerabilidad de XSS en IBM WebSphere Commerce 6.0 hasta la versión FP11, 6.0 Feature Pack 4, 7.0 hasta la versión FP9, 7.0 Feature Pack 5 hasta la versión 8 y 8.0 en versiones anteriores a 8.0.0.1permite a atacantes remotos inyectar secuencias de comandos web o HTML arbitrarios a través de una URL manipulada. • http://www-01.ibm.com/support/docview.wss?uid=swg1JR54264 http://www-01.ibm.com/support/docview.wss?uid=swg1JR54265 http://www-01.ibm.com/support/docview.wss?uid=swg1JR54432 http://www-01.ibm.com/support/docview.wss?uid=swg1JR54824 http://www-01.ibm.com/support/docview.wss? • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 8.8EPSS: 0%CPEs: 23EXPL: 0CVE-2015-5007
https://notcve.org/view.php?id=CVE-2015-5007
Cross-site request forgery (CSRF) vulnerability in IBM WebSphere Commerce 6.0 through 6.0.0.11, 7.0 through 7.0.0.9, and 7.0 Feature Pack 8 allows remote authenticated users to hijack the authentication of arbitrary users for requests that insert XSS sequences. Vulnerabilidad de CSRF en IBM WebSphere Commerce 6.0 hasta la versión 6.0.0.11, 7.0 hasta la versión 7.0.0.9 y 7.0 Feature Pack 8 permite a usuarios remotos autenticados secuestrar la autenticación de usuarios arbitrarios en peticiones que insertan secuencias XSS. • http://www-01.ibm.com/support/docview.wss?uid=swg1JR54267 http://www-01.ibm.com/support/docview.wss?uid=swg1JR54268 http://www-01.ibm.com/support/docview.wss?uid=swg21972611 http://www.securitytracker.com/id/1034639 • CWE-352: Cross-Site Request Forgery (CSRF) •
CVSS: 5.0EPSS: 0%CPEs: 20EXPL: 0CVE-2015-0196
https://notcve.org/view.php?id=CVE-2015-0196
CRLF injection vulnerability in IBM WebSphere Commerce 6.0 through 6.0.0.11 and 7.0 before 7.0.0.8 Cumulative iFix 2 allows remote attackers to inject arbitrary HTTP headers and conduct HTTP response splitting attacks via a crafted URL. Vulnerabilidad de inyección CRLF en IBM WebSphere Commerce 6.0 hasta 6.0.0.11 y 7.0 anterior a 7.0.0.8 Cumulative iFix 2 permite a atacantes remotos inyectar cabeceras HTTP arbitrarias y realizar ataques de la división de las respuestas HTTP a través de una URL manipulada. • http://www-01.ibm.com/support/docview.wss?uid=swg1JR51324 http://www-01.ibm.com/support/docview.wss?uid=swg1JR52306 http://www-01.ibm.com/support/docview.wss?uid=swg21960181 •
CVSS: 2.1EPSS: 0%CPEs: 21EXPL: 0CVE-2015-0200
https://notcve.org/view.php?id=CVE-2015-0200
IBM WebSphere Commerce 6.x through 6.0.0.11 and 7.x before 7.0.0.8 IF2 allows local users to obtain sensitive database information via unspecified vectors. IBM WebSphere Commerce 6.x hasta 6.0.0.11 y 7.x anterior a 7.0.0.8 IF2 permite a usuarios locales obtener información sensible de la base de datos a través de vectores no especificados. • http://www-01.ibm.com/support/docview.wss?uid=swg1JR50683 http://www-01.ibm.com/support/docview.wss?uid=swg1JR52306 http://www-01.ibm.com/support/docview.wss?uid=swg21902799 http://www.securitytracker.com/id/1032392 • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •