CVSS: 9.8EPSS: 0%CPEs: 1EXPL: 0CVE-2017-9278 – Avoid password disclosure via EBS event logging in the iManager Oracle driver
https://notcve.org/view.php?id=CVE-2017-9278
02 Mar 2018 — The NetIQ Identity Manager Oracle EBS driver before 4.0.2.0 sent EBS logs containing the driver authentication password, potentially disclosing this to attackers able to read the EBS tables. El controlador NetIQ Identity Manager Oracle EBS, en versiones anteriores a la 4.0.2.0, enviaba logs EBS que contenían las contraseña de autenticación del controlador. Esto podría revelar esta información a atacantes capaces de leer las tablas EBS. • https://bugzilla.suse.com/show_bug.cgi?id=1053200 • CWE-532: Insertion of Sensitive Information into Log File •
CVSS: 9.0EPSS: 0%CPEs: 1EXPL: 0CVE-2017-9279 – NetIQ Identity Manager allowed uploading of user icons with incorrect types or extensions
https://notcve.org/view.php?id=CVE-2017-9279
02 Mar 2018 — NetIQ Identity Manager before 4.5.6.1 allowed uploading files with double extensions or non-image content in the Themes handling of the User Application Administration, allowing malicious user administrators to potentially execute code or mislead users. NetIQ Identity Manager, en versiones anteriores a la 4.5.6.1, permitía la subida de archivos con doble extensión o contenido sin imágenes en la manipulación de temas de User Application Administration. Esto permitía que usuarios administradores maliciosos ej... • https://bugzilla.suse.com/show_bug.cgi?id=1049129 • CWE-20: Improper Input Validation CWE-434: Unrestricted Upload of File with Dangerous Type •
CVSS: 7.5EPSS: 0%CPEs: 1EXPL: 0CVE-2017-9280 – Novell Identity Manager User Application get request url contains the session token.
https://notcve.org/view.php?id=CVE-2017-9280
02 Mar 2018 — Some NetIQ Identity Manager Applications before Identity Manager 4.5.6.1 included the session token in GET URLs, potentially allowing exposure of user sessions to untrusted third parties via proxies, referer urls or similar. Algunas versiones de NetIQ Identity Manager Applications anteriores a la Identity Manager 4.5.6.1 incluían el token de sesión en las URL GET. Esto podría permitir se expongan sesiones de usuario a terceros mediante proxies, url de referencia o similares. • https://bugzilla.suse.com/show_bug.cgi?id=1049143 • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor CWE-598: Use of GET Request Method With Sensitive Query Strings •
CVSS: 9.1EPSS: 0%CPEs: 1EXPL: 0CVE-2017-7426 – iManager - XML External Entity vulnerabilities
https://notcve.org/view.php?id=CVE-2017-7426
01 Mar 2018 — The NetIQ Identity Manager Plugins before 4.6.1 contained various XML External XML Entity (XXE) handling flaws that could be used by attackers to leak information or cause denial of service attacks. NetIQ Identity Manager Plugins, en versiones anteriores a la 4.6.1, contenía varios errores de gestión de XEE (XML External Entity) que podrían ser empleados por atacantes para filtrar información o provocar ataques de denegación de servicio (DoS). • https://www.novell.com/support/kb/doc.php?id=7021173 • CWE-611: Improper Restriction of XML External Entity Reference •
CVSS: 6.1EPSS: 0%CPEs: 1EXPL: 0CVE-2015-0787
https://notcve.org/view.php?id=CVE-2015-0787
27 Oct 2016 — XSS in NetIQ Designer for Identity Manager before 4.5.3 allows remote attackers to inject arbitrary HTML code via the accessMgrDN value of the forgotUser.do CGI. XSS en NetIQ Designer para Identity Manager en versiones anteriores a 4.5.3 permite a atacantes remotos inyectar un código HTML arbitrario a través del valor accessMgrDN del CGI forgotUser.do. • http://www.securityfocus.com/bid/93972 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 6.1EPSS: 0%CPEs: 1EXPL: 0CVE-2016-1592
https://notcve.org/view.php?id=CVE-2016-1592
27 Oct 2016 — XSS in NetIQ Designer for Identity Manager before 4.5.3 allows remote attackers to inject arbitrary HTML code via the nrfEntitlementReport.do CGI. XSS en NetIQ Designer para Identity Manager en versiones anteriores a 4.5.3 permite a atacantes remotos inyectar un código HTML arbitrario a través del CGI nrfEntitlementReport.do. • http://www.securityfocus.com/bid/93973 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 7.8EPSS: 0%CPEs: 1EXPL: 0CVE-2014-4509
https://notcve.org/view.php?id=CVE-2014-4509
21 Jun 2014 — The MKDQUOTESAFE function in the Fan-out driver scripts in Fan-Out Platform Services in Novell Identity Manager (aka IDM) 4.0.2 allows local users to execute arbitrary commands by leveraging eDirectory POSIX attribute changes to insert shell metacharacters. La función MKDQUOTESAFE en la secuencias de comandos del controlador Fan-out en Fan-Out Platform Services en Novell Identity Manager (también conocido como IDM) 4.0.2 permite a usuarios locales ejecutar comandos arbitrarios mediante el aprovechamiento de... • http://download.novell.com/Download?buildid=5XLmBl54_Rg~ •
CVSS: 5.5EPSS: 0%CPEs: 2EXPL: 0CVE-2007-4526
https://notcve.org/view.php?id=CVE-2007-4526
25 Aug 2007 — The Client Login Extension (CLE) in Novell Identity Manager before 3.5.1 20070730 stores the username and password in a local file, which allows local users to obtain sensitive information by reading this file. La Client Login Extension (CLE) de Novell Identity Manager versiones anteriores a 3.5.1 20070730 almacena nombre de usuario y contraseña en un fichero local, lo cual permite a usuarios locales obtener información confidencial leyendo este fichero. • http://osvdb.org/37320 • CWE-255: Credentials Management Errors •
CVSS: 7.8EPSS: 0%CPEs: 1EXPL: 0CVE-2006-4803
https://notcve.org/view.php?id=CVE-2006-4803
14 Sep 2006 — The Fan-Out Linux and UNIX receiver scripts in Novell Identity Manager (IDM) 3.0.1 allows local users to execute arbitrary commands via unspecified vectors involving certain environment variables and "code injection." La secuencia de comandos del receptor de fan-out de linux y UNIX permite a un usuario local ejecutar comandos de su elección a través de vectores sin especificar que implican ciertas varibles de entorno e "inyecciòn de código". • http://secunia.com/advisories/21888 •
CVSS: 7.8EPSS: 0%CPEs: 1EXPL: 1CVE-2006-4506
https://notcve.org/view.php?id=CVE-2006-4506
31 Aug 2006 — idmlib.sh in nxdrv in Novell Identity Manager (IDM) 3.0.1 allows local users to execute arbitrary commands via unspecified vectors, possibly involving the " (quote) and \ (backslash) characters and eval injection. idmlib.sh en nxdrv en Novell Identity Manager (IDM) 3.0.1 permite a usuarios locales ejecutar órdenes de su elección mediante vectores no especificados, posiblemente implicando los caractéres " (comillas) y \ (contrabarra) en una inyección de 'eval'. • http://securitytracker.com/id?1016741 •