CVSS: 5.8EPSS: 0%CPEs: 240EXPL: 0CVE-2014-7810 – Tomcat/JbossWeb: security manager bypass via EL expressions
https://notcve.org/view.php?id=CVE-2014-7810
The Expression Language (EL) implementation in Apache Tomcat 6.x before 6.0.44, 7.x before 7.0.58, and 8.x before 8.0.16 does not properly consider the possibility of an accessible interface implemented by an inaccessible class, which allows attackers to bypass a SecurityManager protection mechanism via a web application that leverages use of incorrect privileges during EL evaluation. La implementación Expression Language (EL) en Apache Tomcat 6.x anterior a 6.0.44, 7.x anterior a 7.0.58, y 8.x anterior a 8.0.16 no considera correctamente la posibilidad de una interfaz accesible implementada por una clase no accesible, lo que permite a atacantes evadir un mecanismo de protección SecurityManager a través de una aplicación web que aprovecha el uso de privilegios incorrectos durante la evaluación EL. It was found that the expression language resolver evaluated expressions within a privileged code section. A malicious web application could use this flaw to bypass security manager protections. • http://marc.info/?l=bugtraq&m=145974991225029&w=2 http://rhn.redhat.com/errata/RHSA-2015-1621.html http://rhn.redhat.com/errata/RHSA-2015-1622.html http://rhn.redhat.com/errata/RHSA-2016-0492.html http://rhn.redhat.com/errata/RHSA-2016-2046.html http://svn.apache.org/viewvc?view=revision&revision=1644018 http://svn.apache.org/viewvc?view=revision&revision=1645642 http://tomcat.apache.org/security-6.html http://tomcat.apache.org/security-7.html http://tomcat.apach • CWE-284: Improper Access Control •
CVSS: 8.5EPSS: 0%CPEs: 3EXPL: 0CVE-2014-7879
https://notcve.org/view.php?id=CVE-2014-7879
HP HP-UX B.11.11, B.11.23, and B.11.31, when the PAM configuration includes libpam_updbe, allows remote authenticated users to bypass authentication, and consequently execute arbitrary code, via unspecified vectors. HP HP-UX B.11.11, B.11.23, y B.11.31, cuando la configuración PAM incluye libpam_updbe, permite a usuarios remotos autenticados evadir la autenticación, y como consecuencia ejecutar código arbitrario, a través de vectores no especificados. • https://h20564.www2.hp.com/portal/site/hpsc/public/kb/docDisplay?docId=emr_na-c04511778 • CWE-287: Improper Authentication •
CVSS: 4.9EPSS: 0%CPEs: 1EXPL: 0CVE-2014-7877
https://notcve.org/view.php?id=CVE-2014-7877
Unspecified vulnerability in the kernel in HP HP-UX B.11.31 allows local users to cause a denial of service via unknown vectors. Vulnerabilidad no especificada en el kernel en HP HP-UX B.11.31 permite a usuarios locales causar una denegación de servicio a través de vectores desconocidos. • http://secunia.com/advisories/61196 http://www.securityfocus.com/bid/70808 http://www.securitytracker.com/id/1031139 https://exchange.xforce.ibmcloud.com/vulnerabilities/98382 https://h20564.www2.hp.com/portal/site/hpsc/public/kb/docDisplay?docId=emr_na-c04491186 •
CVSS: 6.8EPSS: 0%CPEs: 4EXPL: 0CVE-2014-7874
https://notcve.org/view.php?id=CVE-2014-7874
Cross-site request forgery (CSRF) vulnerability in HP System Management Homepage (SMH) before 3.2.3 on HP-UX B.11.23, and before 3.2.8 on HP-UX B.11.31, allows remote attackers to hijack the authentication of unspecified victims via unknown vectors. Vulnerabilidad de CSRF en HP System Management Homepage (SMH) anterior a 3.2.3 en HP-UX B.11.23, y anterior a 3.2.8 en HP-UX B.11.31, permite a atacantes remotos secuestrar la autenticación de victimas no especificadas a través de vectores desconocidos. • http://secunia.com/advisories/60945 http://www.securitytracker.com/id/1031050 https://exchange.xforce.ibmcloud.com/vulnerabilities/97024 https://h20564.www2.hp.com/portal/site/hpsc/public/kb/docDisplay?docId=emr_na-c04476799 • CWE-352: Cross-Site Request Forgery (CSRF) •
CVSS: 3.3EPSS: 0%CPEs: 9EXPL: 0CVE-2013-6335
https://notcve.org/view.php?id=CVE-2013-6335
The Backup-Archive client in IBM Tivoli Storage Manager (TSM) for Space Management 5.x and 6.x before 6.2.5.3, 6.3.x before 6.3.2, 6.4.x before 6.4.2, and 7.1.x before 7.1.0.3 on Linux and AIX, and 5.x and 6.x before 6.1.5.6 on Solaris and HP-UX, does not preserve file permissions across backup and restore operations, which allows local users to bypass intended access restrictions via standard filesystem operations. El cliente Backup-Archive en IBM Tivoli Storage Manager (TSM) for Space Management 5.x y 6.x anterior a 6.2.5.3, 6.3.x anterior a 6.3.2, 6.4.x anterior a 6.4.2, y 7.1.x anterior a 7.1.0.3 en Linux y AIX, y 5.x y 6.x anterior a 6.1.5.6 en Solaris y HP-UX, no conserva los permisos de ficheros durante operaciones de copia de seguridad y restauración, lo que permite a usuarios locales evadir las restricciones de acceso a través de operaciones estándar del sistema de ficheros. • http://secunia.com/advisories/60482 http://www-01.ibm.com/support/docview.wss?uid=swg1IC96095 http://www-01.ibm.com/support/docview.wss?uid=swg21680453 https://exchange.xforce.ibmcloud.com/vulnerabilities/89054 • CWE-281: Improper Preservation of Permissions •