Page 6 of 57 results (0.012 seconds)

CVSS: 7.5EPSS: 0%CPEs: 2EXPL: 0

IBM BigFix Platform 9.2.0 through 9.2.14 and 9.5 through 9.5.9 discloses sensitive information to unauthorized users. The information can be used to mount further attacks on the system. IBM X-Force ID: 140757. IBM BigFix Platform, desde la versión 9.2.0 hasta la 9.2.14 y desde la versión 9.5 hasta la 9.5.9, divulga información sensible a usuarios no autorizados. Esta información puede emplearse para ejecutar más ataques en el sistema. • https://exchange.xforce.ibmcloud.com/vulnerabilities/140757 https://www.ibm.com/support/docview.wss?uid=ibm10733605 • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •

CVSS: 4.3EPSS: 0%CPEs: 2EXPL: 0

IBM BigFix Platform 9.2.0 through 9.2.14 and 9.5 through 9.5.9 does not renew a session variable after a successful authentication which could lead to session fixation/hijacking vulnerability. This could force a user to utilize a cookie that may be known to an attacker. IBM X-Force ID: 140970. IBM BigFix Platform, desde la versión 9.2.0 hasta la 9.2.14 y desde la versión 9.5 hasta la 9.5.9, no renueva una variable de sesión tras una autenticación exitosa. Esto podría desembocar en una vulnerabilidad de fijación/secuestro de sesión. • https://exchange.xforce.ibmcloud.com/vulnerabilities/140970 https://www.ibm.com/support/docview.wss?uid=ibm10733605 • CWE-384: Session Fixation •

CVSS: 5.3EPSS: 0%CPEs: 2EXPL: 0

IBM BigFix Platform 9.2.0 through 9.2.14 and 9.5 through 9.5.9 stores sensitive information in URL parameters. This may lead to information disclosure if unauthorized parties have access to the URLs via server logs, referrer header or browser history. IBM X-Force ID: 140763. IBM BigFix Platform, de la versión 9.2.0 hasta la 9.2.14 y desde la versión 9.5 hasta la 9.5.9, almacena información sensible en parámetros de la URL. Esto podría llevar a una divulgación de información si partes no autorizadas tienen acceso a las URL mediante registros del servidor, cabeceras referrer o el historial del navegador. • https://exchange.xforce.ibmcloud.com/vulnerabilities/140763 https://www.ibm.com/support/docview.wss?uid=ibm10733605 • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •

CVSS: 6.1EPSS: 0%CPEs: 2EXPL: 0

IBM BigFix Platform 9.2.0 through 9.2.14 and 9.5 through 9.5.9 is vulnerable to HTTP response splitting attacks, caused by improper validation of user-supplied input. A remote attacker could exploit this vulnerability to inject arbitrary HTTP headers and cause the server to return a split response, once the URL is clicked. This would allow the attacker to perform further attacks, such as Web cache poisoning or cross-site scripting, and possibly obtain sensitive information. IBM X-force ID: 140692. IBM BigFix Platform, desde la versión 9.2.0 hasta la 9.2.14 y desde la 9.5 hasta la 9.5.9 es vulnerable a ataques de separación de respuesta HTTP, provocados por la validación incorrecta de entradas proporcionadas por el usuario. • https://exchange.xforce.ibmcloud.com/vulnerabilities/140692 https://www.ibm.com/support/docview.wss?uid=ibm10733605 • CWE-74: Improper Neutralization of Special Elements in Output Used by a Downstream Component ('Injection') •

CVSS: 5.3EPSS: 0%CPEs: 2EXPL: 0

IBM BigFix Platform 9.2.0 through 9.2.14 and 9.5 through 9.5.9 does not set the 'HttpOnly' attribute on authorization tokens or session cookies. If a Cross-Site Scripting vulnerability also existed attackers may be able to get the cookie values via malicious JavaScript and then hijack the user session. IBM X-Force ID: 140762. IBM BigFix Platform, desde la versón 9.2.0 hasta la 9.2.14 y desde la versión 9.5 hasta la 9.5.9, no establece el atributo "HttpOnly" en los tokens de autorización o en las cookies de sesión. Si también existiese una vulnerabilidad Cross-Site Scripting (XSS), los atacantes podrían obtener los valores de la cookie mediante JavaScript malicioso y, después, secuestrar la sesión de usuario. • https://exchange.xforce.ibmcloud.com/vulnerabilities/140762 https://www.ibm.com/support/docview.wss?uid=ibm10733605 • CWE-384: Session Fixation •