CVSS: 7.5EPSS: 0%CPEs: 2EXPL: 0CVE-2018-1476
https://notcve.org/view.php?id=CVE-2018-1476
IBM BigFix Platform 9.2.0 through 9.2.14 and 9.5 through 9.5.9 discloses sensitive information to unauthorized users. The information can be used to mount further attacks on the system. IBM X-Force ID: 140757. IBM BigFix Platform, desde la versión 9.2.0 hasta la 9.2.14 y desde la versión 9.5 hasta la 9.5.9, divulga información sensible a usuarios no autorizados. Esta información puede emplearse para ejecutar más ataques en el sistema. • https://exchange.xforce.ibmcloud.com/vulnerabilities/140757 https://www.ibm.com/support/docview.wss?uid=ibm10733605 • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •
CVSS: 5.3EPSS: 0%CPEs: 2EXPL: 0CVE-2018-1481
https://notcve.org/view.php?id=CVE-2018-1481
IBM BigFix Platform 9.2.0 through 9.2.14 and 9.5 through 9.5.9 stores sensitive information in URL parameters. This may lead to information disclosure if unauthorized parties have access to the URLs via server logs, referrer header or browser history. IBM X-Force ID: 140763. IBM BigFix Platform, de la versión 9.2.0 hasta la 9.2.14 y desde la versión 9.5 hasta la 9.5.9, almacena información sensible en parámetros de la URL. Esto podría llevar a una divulgación de información si partes no autorizadas tienen acceso a las URL mediante registros del servidor, cabeceras referrer o el historial del navegador. • https://exchange.xforce.ibmcloud.com/vulnerabilities/140763 https://www.ibm.com/support/docview.wss?uid=ibm10733605 • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •
CVSS: 6.1EPSS: 0%CPEs: 2EXPL: 0CVE-2018-1474
https://notcve.org/view.php?id=CVE-2018-1474
IBM BigFix Platform 9.2.0 through 9.2.14 and 9.5 through 9.5.9 is vulnerable to HTTP response splitting attacks, caused by improper validation of user-supplied input. A remote attacker could exploit this vulnerability to inject arbitrary HTTP headers and cause the server to return a split response, once the URL is clicked. This would allow the attacker to perform further attacks, such as Web cache poisoning or cross-site scripting, and possibly obtain sensitive information. IBM X-force ID: 140692. IBM BigFix Platform, desde la versión 9.2.0 hasta la 9.2.14 y desde la 9.5 hasta la 9.5.9 es vulnerable a ataques de separación de respuesta HTTP, provocados por la validación incorrecta de entradas proporcionadas por el usuario. • https://exchange.xforce.ibmcloud.com/vulnerabilities/140692 https://www.ibm.com/support/docview.wss?uid=ibm10733605 • CWE-74: Improper Neutralization of Special Elements in Output Used by a Downstream Component ('Injection') •
CVSS: 6.1EPSS: 0%CPEs: 2EXPL: 0CVE-2018-1478
https://notcve.org/view.php?id=CVE-2018-1478
IBM BigFix Platform 9.2.0 through 9.2.14 and 9.5 through 9.5.9 could allow a remote attacker to hijack the clicking action of the victim. By persuading a victim to visit a malicious Web site, a remote attacker could exploit this vulnerability to hijack the victim's click actions and possibly launch further attacks against the victim. IBM X-Force ID: 140760. IBM BigFix Platform, desde la versión 9.2.0 hasta la 9.2.14 y de la versión 9.5 hasta la 9.5.9, podría permitir que un atacante remoto secuestre la acción de clicado de la víctima. Al convencer a una víctima para que visite un sitio web malicioso, un atacante remoto podría explotar esta vulnerabilidad para secuestrar las acciones de clicado de la víctima y lanzar más ataques contra ésta. • https://exchange.xforce.ibmcloud.com/vulnerabilities/140760 https://www.ibm.com/support/docview.wss?uid=ibm10733605 • CWE-20: Improper Input Validation •
CVSS: 4.3EPSS: 0%CPEs: 2EXPL: 0CVE-2018-1485
https://notcve.org/view.php?id=CVE-2018-1485
IBM BigFix Platform 9.2.0 through 9.2.14 and 9.5 through 9.5.9 does not renew a session variable after a successful authentication which could lead to session fixation/hijacking vulnerability. This could force a user to utilize a cookie that may be known to an attacker. IBM X-Force ID: 140970. IBM BigFix Platform, desde la versión 9.2.0 hasta la 9.2.14 y desde la versión 9.5 hasta la 9.5.9, no renueva una variable de sesión tras una autenticación exitosa. Esto podría desembocar en una vulnerabilidad de fijación/secuestro de sesión. • https://exchange.xforce.ibmcloud.com/vulnerabilities/140970 https://www.ibm.com/support/docview.wss?uid=ibm10733605 • CWE-384: Session Fixation •