CVE-2022-26950
https://notcve.org/view.php?id=CVE-2022-26950
Archer 6.x through 6.9 P2 (6.9.0.2) is affected by an open redirect vulnerability. A remote unprivileged attacker may potentially redirect legitimate users to arbitrary web sites and conduct phishing attacks. The attacker could then steal the victims' credentials and silently authenticate them to the Archer application without the victims realizing an attack occurred. Archer versiones 6.x hasta 6.9 P2 (6.9.0.2) está afectado por una vulnerabilidad de redireccionamiento abierto. Un atacante remoto no privilegiado puede potencialmente redirigir a usuarios legítimos a sitios web arbitrarios y realizar ataques de phishing. • https://www.archerirm.community/t5/general-support-information/tkb-p/information-support https://www.archerirm.community/t5/security-advisories/archer-an-rsa-business-update-for-multiple-vulnerabilities/ta-p/674497 • CWE-601: URL Redirection to Untrusted Site ('Open Redirect') •
CVE-2022-26949
https://notcve.org/view.php?id=CVE-2022-26949
Archer 6.x through 6.9 SP2 P1 (6.9.2.1) contains an improper access control vulnerability on attachments. A remote authenticated malicious user could potentially exploit this vulnerability to gain access to files that should only be allowed by extra privileges. Archer versiones 6.x hasta 6.9 SP2 P1 (6.9.2.1) contiene una vulnerabilidad de control de acceso inapropiado en los archivos adjuntos. Un usuario malicioso autenticado de forma remota podría explotar esta vulnerabilidad para conseguir acceso a archivos que sólo deberían estar permitidos con privilegios adicionales • https://www.archerirm.community/t5/general-support-information/tkb-p/information-support https://www.archerirm.community/t5/security-advisories/archer-an-rsa-business-update-for-multiple-vulnerabilities/ta-p/674497 •
CVE-2022-26948
https://notcve.org/view.php?id=CVE-2022-26948
The Archer RSS feed integration for Archer 6.x through 6.9 SP1 (6.9.1.0) is affected by an insecure credential storage vulnerability. A malicious attacker may obtain access to credential information to use it in further attacks. La integración de fuentes RSS de Archer para Archer versiones 6.x hasta 6.9 SP1 (6.9.1.0) está afectada por una vulnerabilidad de almacenamiento de credenciales no segura. Un atacante malicioso puede obtener acceso a la información de las credenciales para usarla en otros ataques • https://www.archerirm.community/t5/general-support-information/tkb-p/information-support https://www.archerirm.community/t5/security-advisories/archer-an-rsa-business-update-for-multiple-vulnerabilities/ta-p/674497 • CWE-522: Insufficiently Protected Credentials •
CVE-2022-26947
https://notcve.org/view.php?id=CVE-2022-26947
Archer 6.x through 6.9 SP3 (6.9.3.0) contains a reflected XSS vulnerability. A remote authenticated malicious Archer user could potentially exploit this vulnerability by tricking a victim application user into supplying malicious HTML or JavaScript code to the vulnerable web application; the malicious code is then reflected back to the victim and gets executed by the web browser in the context of the vulnerable web application. Archer versiones 6.x hasta 6.9 SP3 (6.9.3.0) contiene una vulnerabilidad de tipo XSS reflejada. Un usuario remoto autenticado y malicioso de Archer podría explotar esta vulnerabilidad al engañar a un usuario de la aplicación víctima para que suministre código HTML o JavaScript malicioso a la aplicación web vulnerable; el código malicioso es reflejado entonces en la víctima y es ejecutado por el navegador web en el contexto de la aplicación web vulnerable • https://www.archerirm.community/t5/general-support-information/tkb-p/information-support https://www.archerirm.community/t5/security-advisories/archer-an-rsa-business-update-for-multiple-vulnerabilities/ta-p/674497 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVE-2021-29253
https://notcve.org/view.php?id=CVE-2021-29253
The Tableau integration in RSA Archer 6.4 P1 (6.4.0.1) through 6.9 P2 (6.9.0.2) is affected by an insecure credential storage vulnerability. An malicious attacker with access to the Tableau workbook file may obtain access to credential information to use it in further attacks. La integración de Tableau en RSA Archer versiones 6.4 P1 (6.4.0.1) hasta 6.9 P2 (6.9.0.2) está afectada por una vulnerabilidad de almacenamiento de credenciales no segura. Un atacante malicioso con acceso al archivo de Tableau workbook puede conseguir acceso a la información de las credenciales para usarla en futuros ataques • https://community.rsa.com/t5/archer-product-advisories/rsa-2021-04-archer-an-rsa-business-update-for-multiple/ta-p/603223 https://www.rsa.com/en-us/company/vulnerability-response-policy • CWE-522: Insufficiently Protected Credentials •