CVE-2018-1618
https://notcve.org/view.php?id=CVE-2018-1618
IBM Security Privileged Identity Manager Virtual Appliance 2.2.1 could allow a remote attacker to traverse directories on the system. An attacker could send a specially-crafted URL request containing "dot dot" sequences (/../) to view arbitrary files on the system. IBM X-Force ID: 144343. IBM Security Privileged Identity Manager Virtual Appliance 2.2.1 podría permitir que un atacante remoto realice saltos de directorios en el sistema. Un atacante podría enviar una petición URL especialmente manipulada que contenga secuencias "punto punto" (/../) para visualizar archivos arbitrarios en el sistema. • http://www.ibm.com/support/docview.wss?uid=ibm10879093 https://exchange.xforce.ibmcloud.com/vulnerabilities/144343 • CWE-22: Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') •
CVE-2018-1962
https://notcve.org/view.php?id=CVE-2018-1962
IBM Security Identity Manager 7.0.1 Virtual Appliance does not invalidate session tokens when the logout button is pressed. The lack of proper session termination may allow attackers with local access to login into a closed browser session. IBM X-Force ID: 153658. IBM Security Identity Manager Virtual Appliance 7.0.1 no invalida los tokens de sesión cuando el botón de cierre de sesión está pulsado. La falta de una terminación correcta de la sesión podría permitir que los atacantes con acceso local inicien sesión en una sesión del navegador cerrada. • http://www.ibm.com/support/docview.wss?uid=ibm10796380 http://www.securityfocus.com/bid/106854 https://exchange.xforce.ibmcloud.com/vulnerabilities/153658 • CWE-384: Session Fixation •
CVE-2019-4038
https://notcve.org/view.php?id=CVE-2019-4038
IBM Security Identity Manager 6.0 and 7.0 could allow an attacker to create unexpected control flow paths through the application, potentially bypassing security checks. Exploitation of this weakness can result in a limited form of code injection. IBM X-Force ID: 156162. IBM Security Identity Manager 6.0 y 7.0 podría permitir que un atacante cree rutas de flujo de control mediante la aplicación, pudiendo omitir las comprobaciones de seguridad. La explotación de esta vulnerabilidad puede resultar en una forma limitada de inyección de código. • https://exchange.xforce.ibmcloud.com/vulnerabilities/156162 https://www.ibm.com/support/docview.wss?uid=ibm10869604 • CWE-94: Improper Control of Generation of Code ('Code Injection') •
CVE-2018-1959
https://notcve.org/view.php?id=CVE-2018-1959
IBM Security Identity Manager 7.0.1 Virtual Appliance contains hard-coded credentials, such as a password or cryptographic key, which it uses for its own inbound authentication, outbound communication to external components, or encryption of internal data. IBM X-Force ID: 153633. La Virtual Appliance de IBM Security Identity Manager 7.0.1 contiene credenciales embebidas, como una contraseña o una clave criptográfica, que emplea para su propia autenticación entrante, comunicación saliente hacia componentes externos o para cifrar datos internos. IBM X-Force ID: 153633. • http://www.securityfocus.com/bid/106726 https://exchange.xforce.ibmcloud.com/vulnerabilities/153633 https://www.ibm.com/support/docview.wss?uid=ibm10796380 • CWE-798: Use of Hard-coded Credentials •
CVE-2018-2019
https://notcve.org/view.php?id=CVE-2018-2019
IBM Security Identity Manager 6.0.0 Virtual Appliance is vulnerable to a XML External Entity Injection (XXE) attack when processing XML data. A remote attacker could exploit this vulnerability to expose sensitive information or consume memory resources. IBM X-Force ID: 155265. La versión 6.0.0 de IBM Security Identity Manager es vulnerable a ataques del tipo XML External Entity Injection (XXE) al procesar datos XML. Un atacante remoto podría explotar esta vulnerabilidad para exponer información sensible o consumir recursos de la memoria. • http://www.securityfocus.com/bid/106657 https://exchange.xforce.ibmcloud.com/vulnerabilities/155265 https://www.ibm.com/support/docview.wss?uid=ibm10794615 • CWE-611: Improper Restriction of XML External Entity Reference •