CVSS: 6.1EPSS: 0%CPEs: 2EXPL: 0CVE-2018-1474
https://notcve.org/view.php?id=CVE-2018-1474
IBM BigFix Platform 9.2.0 through 9.2.14 and 9.5 through 9.5.9 is vulnerable to HTTP response splitting attacks, caused by improper validation of user-supplied input. A remote attacker could exploit this vulnerability to inject arbitrary HTTP headers and cause the server to return a split response, once the URL is clicked. This would allow the attacker to perform further attacks, such as Web cache poisoning or cross-site scripting, and possibly obtain sensitive information. IBM X-force ID: 140692. IBM BigFix Platform, desde la versión 9.2.0 hasta la 9.2.14 y desde la 9.5 hasta la 9.5.9 es vulnerable a ataques de separación de respuesta HTTP, provocados por la validación incorrecta de entradas proporcionadas por el usuario. • https://exchange.xforce.ibmcloud.com/vulnerabilities/140692 https://www.ibm.com/support/docview.wss?uid=ibm10733605 • CWE-74: Improper Neutralization of Special Elements in Output Used by a Downstream Component ('Injection') •
CVSS: 5.3EPSS: 0%CPEs: 2EXPL: 0CVE-2018-1480
https://notcve.org/view.php?id=CVE-2018-1480
IBM BigFix Platform 9.2.0 through 9.2.14 and 9.5 through 9.5.9 does not set the 'HttpOnly' attribute on authorization tokens or session cookies. If a Cross-Site Scripting vulnerability also existed attackers may be able to get the cookie values via malicious JavaScript and then hijack the user session. IBM X-Force ID: 140762. IBM BigFix Platform, desde la versón 9.2.0 hasta la 9.2.14 y desde la versión 9.5 hasta la 9.5.9, no establece el atributo "HttpOnly" en los tokens de autorización o en las cookies de sesión. Si también existiese una vulnerabilidad Cross-Site Scripting (XSS), los atacantes podrían obtener los valores de la cookie mediante JavaScript malicioso y, después, secuestrar la sesión de usuario. • https://exchange.xforce.ibmcloud.com/vulnerabilities/140762 https://www.ibm.com/support/docview.wss?uid=ibm10733605 • CWE-384: Session Fixation •
CVSS: 7.8EPSS: 0%CPEs: 1EXPL: 0CVE-2017-1231
https://notcve.org/view.php?id=CVE-2017-1231
IBM BigFix Platform 9.5 - 9.5.9 stores user credentials in plain in clear text which can be read by a local user. IBM X-Force ID: 123910. IBM BigFix Platform 9.5 - 9.5.9 almacena las credenciales de usuario en formato de texto plano, por lo que podrían ser leídos por un usuario local. IBM X-Force ID: 123910. • https://exchange.xforce.ibmcloud.com/vulnerabilities/123910 https://www-01.ibm.com/support/docview.wss?uid=ibm10724511 • CWE-522: Insufficiently Protected Credentials •
CVSS: 8.6EPSS: 0%CPEs: 2EXPL: 0CVE-2018-1600
https://notcve.org/view.php?id=CVE-2018-1600
IBM BigFix Platform 9.2 and 9.5 transmits sensitive or security-critical data in clear text in a communication channel that can be sniffed by unauthorized actors. IBM X-Force ID: 143745. IBM BigFix Platform 9.2 y 9.5 transmite datos sensibles o críticos para la seguridad en texto claro en un canal de comunicación que puede ser rastreado por actores no autorizados. IBM X-Force ID: 143745. • http://www.ibm.com/support/docview.wss?uid=swg22015754 https://exchange.xforce.ibmcloud.com/vulnerabilities/143745 • CWE-319: Cleartext Transmission of Sensitive Information •
CVSS: 9.8EPSS: 0%CPEs: 2EXPL: 0CVE-2018-1475
https://notcve.org/view.php?id=CVE-2018-1475
IBM BigFix Platform 9.2 and 9.5 uses an inadequate account lockout setting that could allow a remote attacker to brute force account credentials. IBM X-Force ID: 140756. IBM BigFix Platform 9.2 y 9.5 emplea una configuración de bloqueo de cuenta inadecuada que podría permitir que un atacante remoto descifre credenciales de cuenta por fuerza bruta. IBM X-Force ID: 140756. • http://www.ibm.com/support/docview.wss?uid=swg22015754 https://exchange.xforce.ibmcloud.com/vulnerabilities/140756 • CWE-307: Improper Restriction of Excessive Authentication Attempts •