CVSS: 5.0EPSS: 0%CPEs: 13EXPL: 0CVE-2014-6092
https://notcve.org/view.php?id=CVE-2014-6092
IBM Curam Social Program Management (SPM) 5.2 before SP6 EP6, 6.0 SP2 before EP26, 6.0.4 before 6.0.4.6, and 6.0.5 before 6.0.5.6 requires failed-login handling for web-service accounts to have the same lockout policy as for standard user accounts, which makes it easier for remote attackers to cause a denial of service (web-service outage) by making many login attempts with a valid caseworker account name. IBM Curam Social Program Management (SPM) 5.2 anterior a SP6 EP6, 6.0 SP2 anterior a EP26, 6.0.4 anterior a 6.0.4.6, y 6.0.5 anterior a 6.0.5.6 requiere el manejo de inicio de sesión fallado para cuentas del servicio web para tener la misma política de bloqueo que las cuentas de usuario estándares, lo que facilita a atacantes remotos causar una denegación de servicio (interrupción del servicio web) mediante la realización de muchos intentos de inicio de sesión con un nombre válido de cuenta de trabajador social. • http://www-01.ibm.com/support/docview.wss?uid=swg21697742 • CWE-17: DEPRECATED: Code •
CVSS: 6.8EPSS: 0%CPEs: 5EXPL: 0CVE-2014-6090
https://notcve.org/view.php?id=CVE-2014-6090
Multiple cross-site request forgery (CSRF) vulnerabilities in the (1) DataMappingEditorCommands, (2) DatastoreEditorCommands, and (3) IEGEditorCommands servlets in IBM Curam Social Program Management (SPM) 5.2 SP6 before EP6, 6.0 SP2 before EP26, 6.0.3 before 6.0.3.0 iFix8, 6.0.4 before 6.0.4.5 iFix10, and 6.0.5 before 6.0.5.6 allow remote attackers to hijack the authentication of arbitrary users for requests that insert XSS sequences. Múltiples vulnerabilidades de CSRF en los servlets (1) DataMappingEditorCommands, (2) DatastoreEditorCommands, y (3) IEGEditorCommands en IBM Curam Social Program Management (SPM) 5.2 SP6 anterior a EP6, 6.0 SP2 anterior a EP26, 6.0.3 anterior a 6.0.3.0 iFix8, 6.0.4 anterior a 6.0.4.5 iFix10, y 6.0.5 anterior a 6.0.5.6 permiten a atacantes remotos secuestrar la autenticación de usuarios arbitrarios para solicitudes que insertan secuencias de XSS. • http://www-01.ibm.com/support/docview.wss?uid=swg21697726 • CWE-352: Cross-Site Request Forgery (CSRF) •
CVSS: 4.3EPSS: 0%CPEs: 5EXPL: 0CVE-2014-4804
https://notcve.org/view.php?id=CVE-2014-4804
Curam Universal Access in IBM Curam Social Program Management 5.2 before SP6 EP6, 6.0 SP2 before EP26, 6.0.4.5 before iFix007, 6.0.5.4 before iFix005, and 6.0.5.5 before iFix003, when SPI inclusion is enabled, allows remote attackers to obtain sensitive user data by visiting an unspecified page. Curam Universal Access en IBM Curam Social Program Management 5.2 anterior a SP6 EP6, 6.0 SP2 anterior a EP26, 6.0.4.5 anterior a iFix007, 6.0.5.4 anterior a iFix005, y 6.0.5.5 anterior a iFix003, cuando la inclusión SPI está habilitada, permite a atacantes remotos obtener datos sensibles de usuarios mediante la visita a una página no especificada. • http://www-01.ibm.com/support/docview.wss?uid=swg21695931 https://exchange.xforce.ibmcloud.com/vulnerabilities/95306 • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •
CVSS: 3.5EPSS: 0%CPEs: 13EXPL: 0CVE-2014-4803
https://notcve.org/view.php?id=CVE-2014-4803
CRLF injection vulnerability in the Universal Access implementation in IBM Curam Social Program Management 6.0 SP2 before EP26, 6.0.4 before 6.0.4.5 iFix007, and 6.0.5 before 6.0.5.5 iFix003, when WebSphere Application Server is not used, allows remote authenticated users to inject arbitrary HTTP headers and conduct HTTP response splitting attacks via an unspecified parameter. Vulnerabilidad de inyección CRLF en la implementación Universal Access en IBM Curam Social Program Management 6.0 SP2 anterior a EP26, 6.0.4 anterior a 6.0.4.5 iFix007, y 6.0.5 anterior a 6.0.5.5 iFix003, cuando WebSphere Application Server no está utilizado, permite a usuarios remotos autenticados inyectar cabeceras HTTP arbitrarias y realizar ataques de la división de respuestas HTTP a través de un parámetro no especificado. • http://www-01.ibm.com/support/docview.wss?uid=swg21695925 https://exchange.xforce.ibmcloud.com/vulnerabilities/95305 •
CVSS: 3.5EPSS: 0%CPEs: 1EXPL: 0CVE-2014-3096
https://notcve.org/view.php?id=CVE-2014-3096
Cross-site scripting (XSS) vulnerability in IBM Curam Social Program Management before 6.0.5.5a allows remote authenticated users to inject arbitrary web script or HTML via a crafted URL. Vulnerabilidad de XSS en IBM Curam Social Program Management anterior a 6.0.5.5a permite a usuarios remotos autenticados inyectar secuencias de comandos web o HTML arbitrarios a través de una URL manipulada. • http://www-01.ibm.com/support/docview.wss?uid=swg21692994 https://exchange.xforce.ibmcloud.com/vulnerabilities/94264 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •