CVE-2020-5020
https://notcve.org/view.php?id=CVE-2020-5020
IBM Spectrum Protect Plus 10.1.0 through 10.1.6 could allow a remote attacker to hijack the clicking action of the victim. By persuading a victim to visit a malicious Web site, a remote attacker could exploit this vulnerability to hijack the victim's click actions and possibly launch further attacks against the victim. IBM X-Force ID: 193656. IBM Spectrum Protect Plus versiones 10.1.0 hasta 10.1.6, podría permitir a un atacante remoto secuestrar la acción de clic de la víctima. Al persuadir a una víctima para visitar un sitio web malicioso, un atacante remoto podría explotar esta vulnerabilidad para secuestrar las acciones de clic de la víctima y posiblemente iniciar futuros ataques contra la víctima. • https://exchange.xforce.ibmcloud.com/vulnerabilities/193656 https://www.ibm.com/support/pages/node/6398754 • CWE-1021: Improper Restriction of Rendered UI Layers or Frames •
CVE-2020-5019
https://notcve.org/view.php?id=CVE-2020-5019
IBM Spectrum Protect Plus 10.1.0 through 10.1.6 is vulnerable to HTTP header injection, caused by improper validation of input by the HOST headers. By sending a specially crafted HTTP request, a remote attacker could exploit this vulnerability to inject HTTP HOST header, which will allow the attacker to conduct various attacks against the vulnerable system, including cross-site scripting, cache poisoning or session hijacking. IBM X-Force ID: 193655. IBM Spectrum Protect Plus versiones 10.1.0 hasta 10.1.6, son vulnerables a una inyección de encabezado HTTP, causada por una comprobación inapropiada de la entrada por medio de los encabezados HOST. Mediante el envío de una petición HTTP especialmente diseñada, un atacante remoto podría explotar esta vulnerabilidad para inyectar un encabezado HTTP HOST, lo que permitirá al atacante conducir varios ataques contra el sistema vulnerable, incluyendo cross-site scripting, envenenamiento de caché o secuestro de sesiones. • https://exchange.xforce.ibmcloud.com/vulnerabilities/193655 https://www.ibm.com/support/pages/node/6398754 • CWE-74: Improper Neutralization of Special Elements in Output Used by a Downstream Component ('Injection') •
CVE-2020-5018
https://notcve.org/view.php?id=CVE-2020-5018
IBM Spectrum Protect Plus 10.1.0 through 10.1.6 may include sensitive information in its URLs increasing the risk of such information being caputured by an attacker. IBM X-Force ID: 193654. IBM Spectrum Protect Plus versiones 10.1.0 hasta 10.1.6, puede incluir información confidencial en sus URL, incrementando el riesgo de que dicha información sea capturada por un atacante. IBM X-Force ID: 193654 • https://exchange.xforce.ibmcloud.com/vulnerabilities/193654 https://www.ibm.com/support/pages/node/6398754 • CWE-312: Cleartext Storage of Sensitive Information •
CVE-2020-4854
https://notcve.org/view.php?id=CVE-2020-4854
IBM Spectrum Protect Plus 10.1.0 thorugh 10.1.6 contains hard-coded credentials, such as a password or cryptographic key, which it uses for its own inbound authentication, outbound communication to external components, or encryption of internal data. IBM X-Force ID: 190454. IBM Spectrum Protect Plus versiones 10.1.0 hasta 10.1.6, contiene credenciales embebidas, como una contraseña o clave criptográfica, que utiliza para su propia autenticación entrante, comunicación saliente a componentes externos o cifrado de datos internos. IBM X-Force ID: 190454 • https://exchange.xforce.ibmcloud.com/vulnerabilities/190454 https://www.ibm.com/support/pages/node/6367823 https://www.tenable.com/security/research/tra-2020-66 • CWE-798: Use of Hard-coded Credentials •
CVE-2020-4783
https://notcve.org/view.php?id=CVE-2020-4783
IBM Spectrum Protect Plus 10.1.0 through 10.1.6 could allow a remote attacker to obtain sensitive information, caused by the failure to properly enable HTTP Strict Transport Security. An attacker could exploit this vulnerability to obtain sensitive information using man in the middle techniques. IBM X-Force ID: 189214. IBM Spectrum Protect Plus versiones 10.1.0 hasta 10.1.6, podría permitir a un atacante remoto obtener información confidencial, debido a un fallo al habilitar correctamente HTTP Strict Transport Security. Un atacante podría aprovechar esta vulnerabilidad para obtener información confidencial usando técnicas de tipo man in the middle. • https://exchange.xforce.ibmcloud.com/vulnerabilities/189214 https://www.ibm.com/support/pages/node/6368601 • CWE-862: Missing Authorization •