CVE-2015-4534
https://notcve.org/view.php?id=CVE-2015-4534
Java Method Server (JMS) in EMC Documentum Content Server before 6.7SP1 P32, 6.7SP2 before P25, 7.0 before P19, 7.1 before P16, and 7.2 before P02 allows remote authenticated users to execute arbitrary code by forging a signature for a query string that lacks the method_verb parameter. Vulnerabilidad en Java Method Server (JMS) en EMC Documentum Content Server en versiones anteriores a 6.7SP1 P32, 6.7SP2 en versiones anteriores a P25, 7.0 en versiones anteriores a P19, 7.1 en versiones anteriores a P16 y 7.2 en versiones anteriores a P02, permite a usuarios remotos autenticados ejecutar código arbitrario mediante la falsificación de una firma para una cadena de consulta que carece del parámetro method_verb. • http://seclists.org/bugtraq/2015/Aug/86 http://www.securityfocus.com/bid/76410 http://www.securitytracker.com/id/1033296 • CWE-20: Improper Input Validation •
CVE-2015-4533 – OpenText Documentum Content Server SQL Injection
https://notcve.org/view.php?id=CVE-2015-4533
EMC Documentum Content Server before 6.7SP1 P32, 6.7SP2 before P25, 7.0 before P19, 7.1 before P16, and 7.2 before P02 does not properly check authorization after creation of an object, which allows remote authenticated users to execute arbitrary code with super-user privileges via a custom script. NOTE: this vulnerability exists because of an incomplete fix for CVE-2014-2513. Vulnerabilidad en EMC Documentum Content Server en versiones anteriores a 6.7SP1 P32, 6.7SP2 en versiones anteriores a P25, 7.0 en versiones anteriores a P19, 7.1 en versiones anteriores a P16 y 7.2 en versiones anteriores a P02, no comprueba adecuadamente la autorización después de la creación de un objeto, lo que permite a usuarios remotos autenticados ejecutar código arbitrario con privilegios de superusuario a través de una secuencia de comandos personalizada. NOTA: esta vulnerabilidad existe debido a una solución incompleta de la vulnerabilidad CVE-2014-2513. • http://seclists.org/bugtraq/2015/Aug/86 http://www.securityfocus.com/bid/76411 http://www.securitytracker.com/id/1033296 • CWE-264: Permissions, Privileges, and Access Controls •
CVE-2015-4535
https://notcve.org/view.php?id=CVE-2015-4535
Java Method Server (JMS) in EMC Documentum Content Server before 6.7SP1 P32, 6.7SP2 before P25, 7.0 before P19, 7.1 before P16, and 7.2 before P02, when __debug_trace__ is configured, allows remote authenticated users to gain super-user privileges by leveraging the ability to read a log file containing a login ticket. Vulnerabilidad en Java Method Server (JMS) en EMC Documentum Content Server en versiones anteriores a 6.7SP1 P32, 6.7SP2 en versiones anteriores a P25, 7.0 en versiones anteriores a P19, 7.1 en versiones anteriores a P16 y 7.2 en versiones anteriores a P02, cuando está configurado __debug_trace__, permite a usuarios remotos autenticados conseguir privilegios de superusuario aprovechándose de la capacidad para leer un archivo de registro que contiene un ticket de registro. • http://seclists.org/bugtraq/2015/Aug/86 http://www.securityfocus.com/bid/76409 http://www.securitytracker.com/id/1033296 • CWE-264: Permissions, Privileges, and Access Controls •
CVE-2015-4536
https://notcve.org/view.php?id=CVE-2015-4536
EMC Documentum Content Server before 7.0 P20, 7.1 before P18, and 7.2 before P02, when RPC tracing is configured, stores certain obfuscated password data in a log file, which allows remote authenticated users to obtain sensitive information by reading this file. Vulnerabilidad en EMC Documentum Content Server en versiones anteriores a 7.0 P20, 7.1 en versiones anteriores a P18 y 7.2 en versiones anteriores a P02, cuando está configurado el rastreo RPC, almacena ciertos datos de contraseñas ofuscadas en un archivo de registro, lo que permite a usuarios remotos autenticados obtener información sensible mediante la lectura de este archivo. • http://seclists.org/bugtraq/2015/Aug/86 http://www.securityfocus.com/bid/76412 http://www.securitytracker.com/id/1033296 • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •
CVE-2015-4532 – EMC Documentum Content Server Privilege Escalation
https://notcve.org/view.php?id=CVE-2015-4532
EMC Documentum Content Server before 6.7SP1 P32, 6.7SP2 before P25, 7.0 before P19, 7.1 before P16, and 7.2 before P02 does not properly check authorization and does not properly restrict object types, which allows remote authenticated users to run save RPC commands with super-user privileges, and consequently execute arbitrary code, via unspecified vectors. NOTE: this vulnerability exists because of an incomplete fix for CVE-2014-2514. Vulnerabilidad en EMC Documentum Content Server en versiones anteriores a 6.7SP1 P32, 6.7SP2 en versiones anteriores a P25, 7.0 en versiones anteriores a P19, 7.1 en versiones anteriores a P16 y 7.2 en versiones anteriores a P02, no comprueba adecuadamente la autorización y no restringe adecuadamente los tipos de los objetos, lo que permite a usuarios remotos autenticados ejecutar comandos de guardado de RPC con privilegios de superusuario, y consecuentemente ejecutar código arbitrario, a través de vectores no especificados. NOTA: esta vulnerabilidad existe debido a una solución incompleta de la vulnerabilidad CVE-2014-2514. EMC Documentum Content Server failed to fully address privilege escalation vulnerabilities as noted in CVE-2015-4532. • http://seclists.org/bugtraq/2015/Aug/86 http://www.securityfocus.com/bid/76414 • CWE-264: Permissions, Privileges, and Access Controls •