CVSS: 4.3EPSS: 0%CPEs: 3EXPL: 0CVE-2022-43857 – IBM Navigator for i information disclosure
https://notcve.org/view.php?id=CVE-2022-43857
IBM Navigator for i 7.3, 7.4 and 7.5 could allow an authenticated user to access IBM Navigator for i log files they are authorized to but not while using this interface. The remote authenticated user can bypass the interface checks and download log files by modifying servlet filter. IBM X-Force ID: 239301. IBM Navigator para i 7.3, 7.4 y 7.5 podría permitir que un usuario autenticado acceda a los archivos de registro i de IBM Navigator para los que está autorizado pero no mientras utiliza esta interfaz. El usuario autenticado remoto puede omitir las comprobaciones de la interfaz y descargar archivos de registro modificando el filtro de servlet. • https://exchange.xforce.ibmcloud.com/vulnerabilities/239301 https://www.ibm.com/support/pages/node/6850801 • CWE-22: Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') •
CVSS: 5.4EPSS: 0%CPEs: 5EXPL: 0CVE-2022-34358
https://notcve.org/view.php?id=CVE-2022-34358
IBM i 7.2, 7.3, 7.4, and 7.5 is vulnerable to cross-site scripting. This vulnerability allows users to embed arbitrary JavaScript code in the Web UI thus altering the intended functionality potentially leading to credentials disclosure within a trusted session. IBM X-Force ID: 230516. IBM i versiones 7.2, 7.3, 7.4 y 7.5 es vulnerable a un ataque de tipo cross-site scripting. Esta vulnerabilidad permite a usuarios insertar código JavaScript arbitrario en la Interfaz de Usuario Web, alterando así la funcionalidad prevista y conllevando potencialmente a una divulgación de credenciales dentro de una sesión confiable. • https://exchange.xforce.ibmcloud.com/vulnerabilities/230516 https://www.ibm.com/support/pages/node/6603131 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 8.8EPSS: 0%CPEs: 4EXPL: 0CVE-2022-22495
https://notcve.org/view.php?id=CVE-2022-22495
IBM i 7.3, 7.4, and 7.5 is vulnerable to SQL injection. A remote attacker could send specially crafted SQL statements, which could allow the attacker to view, add, modify or delete information in the back-end database. IBM X-Force ID: 226941. IBM i versiones 7.3, 7.4 y 7.5, es vulnerable a una inyección SQL. Un atacante remoto podría enviar sentencias SQL especialmente diseñadas, lo que podría permitir al atacante visualizar, añadir, modificar o eliminar información en la base de datos del back-end. • https://exchange.xforce.ibmcloud.com/vulnerabilities/226941 https://www.ibm.com/support/pages/node/6589203 • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •
CVSS: 5.3EPSS: 0%CPEs: 3EXPL: 0CVE-2022-22481
https://notcve.org/view.php?id=CVE-2022-22481
IBM Navigator for i 7.2, 7.3, and 7.4 (heritage version) could allow a remote attacker to obtain access to the web interface without valid credentials. By modifying the sign on request, an attacker can gain visibility to the fully qualified domain name of the target system and the navigator tasks page, however they do not gain the ability to perform those tasks on the system or see any specific system data. IBM X-Force ID: 225899. IBM Navigator para i versiones 7.2, 7.3 y 7.4 (versión de herencia), podría permitir a un atacante remoto obtener acceso a la interfaz web sin credenciales válidas. Al modificar la petición de inicio de sesión, un atacante puede obtener visibilidad del nombre de dominio completo del sistema de destino y de la página de tareas del navegador, pero no puede llevar a cabo esas tareas en el sistema ni visualizar ningún dato específico del mismo. • https://exchange.xforce.ibmcloud.com/vulnerabilities/225899 https://www.ibm.com/support/pages/node/6583553 •
CVSS: 6.5EPSS: 0%CPEs: 4EXPL: 0CVE-2021-39056
https://notcve.org/view.php?id=CVE-2021-39056
The IBM i 7.1, 7.2, 7.3, and 7.4 Extended Dynamic Remote SQL server (EDRSQL) could allow a remote authenticated user to send a specially crafted request and cause a denial of service. IBM X-Force ID: 214537. El servidor SQL Dinámico Remoto Extendido (EDRSQL) de IBM i versiones 7.1, 7.2, 7.3 y 7.4, podría permitir a un usuario remoto autenticado enviar una petición especialmente diseñada y causar una denegación de servicio. IBM X-Force ID: 214537 • https://exchange.xforce.ibmcloud.com/vulnerabilities/214537 https://www.ibm.com/support/pages/node/6540294 •