CVE-2017-9280 – Novell Identity Manager User Application get request url contains the session token.
https://notcve.org/view.php?id=CVE-2017-9280
Some NetIQ Identity Manager Applications before Identity Manager 4.5.6.1 included the session token in GET URLs, potentially allowing exposure of user sessions to untrusted third parties via proxies, referer urls or similar. Algunas versiones de NetIQ Identity Manager Applications anteriores a la Identity Manager 4.5.6.1 incluían el token de sesión en las URL GET. Esto podría permitir se expongan sesiones de usuario a terceros mediante proxies, url de referencia o similares. • https://bugzilla.suse.com/show_bug.cgi?id=1049143 https://download.novell.com/Download?buildid=K7lbPAGJyIk~ • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor CWE-598: Use of GET Request Method With Sensitive Query Strings •
CVE-2017-7434 – NetIQ Identity Manager JDBC driver could leak passwords in exception traces
https://notcve.org/view.php?id=CVE-2017-7434
In the JDBC driver of NetIQ Identity Manager before 4.6 sending out incorrect XML configurations could result in passwords being logged into exception logfiles. En el controlador JDBC en NetIQ Identity Manager en versiones anteriores a la 4.6, el envío de configuraciones XML incorrectas podría resultar en que las contraseñas se registren en archivos de registro de excepciones. • https://bugzilla.suse.com/show_bug.cgi?id=1005907 https://www.netiq.com/documentation/identity-manager-46/releasenotes_idm46/data/releasenotes_idm46.html • CWE-532: Insertion of Sensitive Information into Log File •
CVE-2017-9279 – NetIQ Identity Manager allowed uploading of user icons with incorrect types or extensions
https://notcve.org/view.php?id=CVE-2017-9279
NetIQ Identity Manager before 4.5.6.1 allowed uploading files with double extensions or non-image content in the Themes handling of the User Application Administration, allowing malicious user administrators to potentially execute code or mislead users. NetIQ Identity Manager, en versiones anteriores a la 4.5.6.1, permitía la subida de archivos con doble extensión o contenido sin imágenes en la manipulación de temas de User Application Administration. Esto permitía que usuarios administradores maliciosos ejecutasen código o confundiesen a los usuarios. • https://bugzilla.suse.com/show_bug.cgi?id=1049129 https://download.novell.com/Download?buildid=K7lbPAGJyIk~ • CWE-20: Improper Input Validation CWE-434: Unrestricted Upload of File with Dangerous Type •
CVE-2017-7426 – iManager - XML External Entity vulnerabilities
https://notcve.org/view.php?id=CVE-2017-7426
The NetIQ Identity Manager Plugins before 4.6.1 contained various XML External XML Entity (XXE) handling flaws that could be used by attackers to leak information or cause denial of service attacks. NetIQ Identity Manager Plugins, en versiones anteriores a la 4.6.1, contenía varios errores de gestión de XEE (XML External Entity) que podrían ser empleados por atacantes para filtrar información o provocar ataques de denegación de servicio (DoS). • https://www.novell.com/support/kb/doc.php?id=7021173 • CWE-611: Improper Restriction of XML External Entity Reference •
CVE-2017-9273
https://notcve.org/view.php?id=CVE-2017-9273
The Bi-directional driver in IDM 4.5 before 4.0.3.0 could be susceptible to unauthorized log configuration changes. El controlador bidireccional en IDM 4.5 en versiones anteriores a la 4.0.3.0 podría ser susceptible a cambios de la configuración del registro sin autorización. • https://download.microfocus.com/Download?buildid=SRL-_pc5pR8 •