CVE-2012-3294 – IBM Websphere MQ File Transfer Edition Web Gateway - Cross-Site Request Forgery
https://notcve.org/view.php?id=CVE-2012-3294
Multiple cross-site request forgery (CSRF) vulnerabilities in the Web Gateway component in IBM WebSphere MQ File Transfer Edition 7.0.4 and earlier, and WebSphere MQ - Managed File Transfer 7.5, allow remote attackers to hijack the authentication of arbitrary users for requests that (1) add user accounts via the /wmqfteconsole/Filespaces URI, (2) modify permissions via the /wmqfteconsole/FileSpacePermisssions URI, or (3) add MQ Message Descriptor (MQMD) user accounts via the /wmqfteconsole/UploadUsers URI. Múltiples vulnerabilidades de falsificación de peticiones en sitios cruzados (CSRF) en el componente de puerta de enlace de web (Web Gateway) de IBM WebSphere MQ File Transfer Edition v7.0.4 y versiones anteriores, y WebSphere MQ - Managed File Transfer v7.5, permiten a atacantes remotos secuestrar la autenticación de usuarios de su elección para las solicitudes que (1) agreguen cuentas de usuario a través de la URI wmqfteconsole/Filespaces, (2) modifiquen los permisos a través de la URI wmqfteconsole/FileSpacePermisssions, o (3) agreguen cuentas de usuario de MQ Message Descriptor (MQMD) a través de la URI wmqfteconsole/UploadUsers. IBM WebSphere MQ File Transfer Edition Web Gateway suffers from a cross site request forgery vulnerability. • https://www.exploit-db.com/exploits/20477 http://www-01.ibm.com/support/docview.wss?uid=swg1IC85516 http://www.exploit-db.com/exploits/20477 http://www.ibm.com/support/docview.wss?uid=swg21607482 http://www.securitytracker.com/id?1027373 https://exchange.xforce.ibmcloud.com/vulnerabilities/77180 • CWE-352: Cross-Site Request Forgery (CSRF) •
CVE-2012-2206 – IBM Websphere MQ File Transfer Edition Web Gateway - Insufficient Access Control
https://notcve.org/view.php?id=CVE-2012-2206
The Web Gateway component in IBM WebSphere MQ File Transfer Edition 7.0.4 and earlier allows remote authenticated users to read files of arbitrary users via vectors involving a username in a URI, as demonstrated by a modified metadata=fteSamplesUser field to the /transfer URI. El componente de puerta de enlace de Internet en IBM WebSphere MQ File Transfer Edition v7.0.4 y anteriores permite leer archivos de usuarios de su elección a usuarios remotos autenticados a través de vectores relacionados con un nombre de usuario en un URI, tal y como se demuestra por un campo metadata=fteSamplesUser modificado que apunta a la URI /transfer. IBM Websphere versions 7.0.4 and below suffer from a control failure that allows privilege escalation. • https://www.exploit-db.com/exploits/20478 http://www-01.ibm.com/support/docview.wss?uid=swg1IC82761 http://www.exploit-db.com/exploits/20478 http://www.ibm.com/support/docview.wss?uid=swg21607481 https://exchange.xforce.ibmcloud.com/vulnerabilities/77095 • CWE-264: Permissions, Privileges, and Access Controls •
CVE-2011-1378
https://notcve.org/view.php?id=CVE-2011-1378
IBM WebSphere MQ 6.0 on OpenVMS, when the default rights of the MQM group are established, does not properly verify User Authorization File (UAF) data, which allows local users to kill listener processes and the command server via a control command. IBM WebSphere MQ v6.0 en OpenVMS, cuando los derechos por defecto del grupo de MQM están activados, no verifican correctamente el User Authorization File (UAF), que permite a usuarios locales a matar a los procesos de escucha y el servidor de comando a través de un comando de control. • http://secunia.com/advisories/46837 http://www-01.ibm.com/support/docview.wss?uid=swg1IC78034 https://exchange.xforce.ibmcloud.com/vulnerabilities/71336 • CWE-264: Permissions, Privileges, and Access Controls •
CVE-2009-0900
https://notcve.org/view.php?id=CVE-2009-0900
Heap-based buffer overflow in the client in IBM WebSphere MQ 6.0 before 6.0.2.7 and 7.0 before 7.0.1.0 allows local users to gain privileges via crafted SSL information in a Client Channel Definition Table (CCDT) file. Desbordamiento de búfer basado en memoria dinámica en el cliente de IBM WebSphere MQ v6.0 anterior a v6.0.2.7 y v7.0 anterior a v7.0.1.0 permite a usuarios locales conseguir privilegios a través de la información elaborada SSL en un fichero Client Channel Definition Table (CCDT). • http://www.ibm.com/support/docview.wss?uid=swg1IC59375 https://exchange.xforce.ibmcloud.com/vulnerabilities/51038 • CWE-119: Improper Restriction of Operations within the Bounds of a Memory Buffer •
CVE-2009-0905
https://notcve.org/view.php?id=CVE-2009-0905
IBM WebSphere MQ 6.0 before 6.0.2.8 and 7.0 before 7.0.1.0 does not properly handle long group names, which might allow local users to gain privileges by leveraging combinations of group names with the same initial substring. IBM WebSphere MQ v6.0 anterior a v6.0.2.8 y v7.0 anterior a v7.0.1.0 no gestiona correctamente los nombres largos de grupo, lo que podría permitir a usuarios locales obtener privilegios mediante el aprovechamiento de las combinaciones de nombres de grupo con la misma subcadena inicial. • http://www.ibm.com/support/docview.wss?uid=swg1IZ37102 https://exchange.xforce.ibmcloud.com/vulnerabilities/51042 • CWE-20: Improper Input Validation •