CVSS: 4.3EPSS: 0%CPEs: 3EXPL: 0CVE-2022-43860 – IBM Navigator for i SQL injection
https://notcve.org/view.php?id=CVE-2022-43860
IBM Navigator for i 7.3, 7.4, and 7.5 could allow an authenticated user to obtain sensitive information they are authorized to but not while using this interface. By performing an SQL injection an attacker could see user profile attributes through this interface. IBM X-Force ID: 239305. IBM Navigator para i 7.3, 7.4 y 7.5 podría permitir que un usuario autenticado obtenga información confidencial a la que está autorizado pero no mientras utiliza esta interfaz. Al realizar una inyección SQL, un atacante podría ver los atributos del perfil de usuario a través de esta interfaz. • https://exchange.xforce.ibmcloud.com/vulnerabilities/239305 https://www.ibm.com/support/pages/node/6850801 • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •
CVSS: 6.3EPSS: 0%CPEs: 3EXPL: 0CVE-2022-43859 – IBM Navigator for i SQL injection
https://notcve.org/view.php?id=CVE-2022-43859
IBM Navigator for i 7.3, 7.4, and 7.5 could allow an authenticated user to obtain sensitive information for an object they are authorized to but not while using this interface. By performing a UNION based SQL injection an attacker could see file permissions through this interface. IBM X-Force ID: 239304. IBM Navigator para i 7.3, 7.4 y 7.5 podría permitir a un usuario autenticado obtener información confidencial para un objeto para el que está autorizado pero no mientras utiliza esta interfaz. Al realizar una inyección SQL basada en UNION, un atacante podría ver los permisos de los archivos a través de esta interfaz. • https://exchange.xforce.ibmcloud.com/vulnerabilities/239304 https://www.ibm.com/support/pages/node/6850801 • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •
CVSS: 4.3EPSS: 0%CPEs: 3EXPL: 0CVE-2022-43858 – IBM Navigator for i information disclosure
https://notcve.org/view.php?id=CVE-2022-43858
IBM Navigator for i 7.3, 7.4, and 7.5 could allow an authenticated user to access the file system and download files they are authorized to but not while using this interface. The remote authenticated user can bypass the interface checks by modifying a parameter thereby gaining access to their files through this interface. IBM X-Force ID: 239303. IBM Navigator para i 7.3, 7.4 y 7.5 podría permitir que un usuario autenticado acceda al sistema de archivos y descargue archivos para los que está autorizado, pero no mientras usa esta interfaz. El usuario autenticado remotamente puede eludir las comprobaciones de la interfaz modificando un parámetro y obteniendo así acceso a sus archivos a través de esta interfaz. • https://exchange.xforce.ibmcloud.com/vulnerabilities/239303 https://www.ibm.com/support/pages/node/6850801 • CWE-22: Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') •
CVSS: 4.3EPSS: 0%CPEs: 3EXPL: 0CVE-2022-43857 – IBM Navigator for i information disclosure
https://notcve.org/view.php?id=CVE-2022-43857
IBM Navigator for i 7.3, 7.4 and 7.5 could allow an authenticated user to access IBM Navigator for i log files they are authorized to but not while using this interface. The remote authenticated user can bypass the interface checks and download log files by modifying servlet filter. IBM X-Force ID: 239301. IBM Navigator para i 7.3, 7.4 y 7.5 podría permitir que un usuario autenticado acceda a los archivos de registro i de IBM Navigator para los que está autorizado pero no mientras utiliza esta interfaz. El usuario autenticado remoto puede omitir las comprobaciones de la interfaz y descargar archivos de registro modificando el filtro de servlet. • https://exchange.xforce.ibmcloud.com/vulnerabilities/239301 https://www.ibm.com/support/pages/node/6850801 • CWE-22: Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') •
CVSS: 5.4EPSS: 0%CPEs: 5EXPL: 0CVE-2022-34358
https://notcve.org/view.php?id=CVE-2022-34358
IBM i 7.2, 7.3, 7.4, and 7.5 is vulnerable to cross-site scripting. This vulnerability allows users to embed arbitrary JavaScript code in the Web UI thus altering the intended functionality potentially leading to credentials disclosure within a trusted session. IBM X-Force ID: 230516. IBM i versiones 7.2, 7.3, 7.4 y 7.5 es vulnerable a un ataque de tipo cross-site scripting. Esta vulnerabilidad permite a usuarios insertar código JavaScript arbitrario en la Interfaz de Usuario Web, alterando así la funcionalidad prevista y conllevando potencialmente a una divulgación de credenciales dentro de una sesión confiable. • https://exchange.xforce.ibmcloud.com/vulnerabilities/230516 https://www.ibm.com/support/pages/node/6603131 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •