CVSS: 9.8EPSS: 0%CPEs: 1EXPL: 0CVE-2017-9278 – Avoid password disclosure via EBS event logging in the iManager Oracle driver
https://notcve.org/view.php?id=CVE-2017-9278
The NetIQ Identity Manager Oracle EBS driver before 4.0.2.0 sent EBS logs containing the driver authentication password, potentially disclosing this to attackers able to read the EBS tables. El controlador NetIQ Identity Manager Oracle EBS, en versiones anteriores a la 4.0.2.0, enviaba logs EBS que contenían las contraseña de autenticación del controlador. Esto podría revelar esta información a atacantes capaces de leer las tablas EBS. • https://bugzilla.suse.com/show_bug.cgi?id=1053200 https://download.novell.com/Download?buildid=DKFkx_xPeaw~ • CWE-532: Insertion of Sensitive Information into Log File •
CVSS: 7.5EPSS: 0%CPEs: 24EXPL: 0CVE-2017-5189 – private SSL key embedded in JAR file in iManager
https://notcve.org/view.php?id=CVE-2017-5189
NetIQ iManager before 3.0.3 delivered a SSL private key in a Java application (JAR file) for authentication to Sentinel, allowing attackers to extract and establish their own connections to the Sentinel appliance. NetIQ iManager, en versiones anteriores a la 3.0.3, entregaba una clave privada SSL en una aplicación Java (archivo JAR) para autenticación en Sentinel, lo que permite que atacantes remotos extraigan y establezcan sus propias conexiones en la aplicación de Sentinel. • https://bugzilla.suse.com/show_bug.cgi?id=1021637 https://www.netiq.com/support/kb/doc.php?id=7016795 • CWE-287: Improper Authentication CWE-522: Insufficiently Protected Credentials •
CVSS: 9.8EPSS: 0%CPEs: 1EXPL: 0CVE-2017-7434 – NetIQ Identity Manager JDBC driver could leak passwords in exception traces
https://notcve.org/view.php?id=CVE-2017-7434
In the JDBC driver of NetIQ Identity Manager before 4.6 sending out incorrect XML configurations could result in passwords being logged into exception logfiles. En el controlador JDBC en NetIQ Identity Manager en versiones anteriores a la 4.6, el envío de configuraciones XML incorrectas podría resultar en que las contraseñas se registren en archivos de registro de excepciones. • https://bugzilla.suse.com/show_bug.cgi?id=1005907 https://www.netiq.com/documentation/identity-manager-46/releasenotes_idm46/data/releasenotes_idm46.html • CWE-532: Insertion of Sensitive Information into Log File •
CVSS: 8.8EPSS: 0%CPEs: 7EXPL: 0CVE-2017-7429 – Fix for NetIQ shell code upload
https://notcve.org/view.php?id=CVE-2017-7429
The certificate upload in NetIQ eDirectory PKI plugin before 8.8.8 Patch 10 Hotfix 1 could be abused to upload JSP code which could be used by authenticated attackers to execute JSP applets on the iManager server. La subida de certificados en el plugin NetIQ eDirectory PKI, en versiones anteriores a 8.8.8 Patch 10 Hotfix 1, podría aprovecharse para subir código JSP que puede ser empleado por atacantes autenticados para ejecutar applets JSP en el servidor iManager. • https://bugzilla.suse.com/show_bug.cgi?id=1024957 https://www.netiq.com/documentation/edir88/edir88810hf1_releasenotes/data/edir88810hf1_releasenotes.html https://www.novell.com/support/kb/doc.php?id=3426981 • CWE-295: Improper Certificate Validation CWE-434: Unrestricted Upload of File with Dangerous Type •
CVSS: 6.1EPSS: 0%CPEs: 2EXPL: 0CVE-2017-7419 – NetIQ Access Manager OAuth Consent screen XSS attack
https://notcve.org/view.php?id=CVE-2017-7419
A OAuth application in NetIQ Access Manager 4.3 before 4.3.2 and 4.2 before 4.2.4 allowed cross site scripting attacks due to unescaped "description" field that could be specified by the provider. Una aplicación OAuth en NetIQ Access Manager, en versiones 4.3 anteriores a la 4.3.2 y versiones 4.2 anteriores a la 4.2.4, permitía ataques de Cross-Site Scripting (XSS) debido a un campo "description" sin escapar que podría especificar el proveedor. • https://bugzilla.suse.com/show_bug.cgi?id=1031853 https://www.novell.com/support/kb/doc.php?id=7019893 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •