CVSS: 6.1EPSS: 0%CPEs: 84EXPL: 0CVE-2017-1591
https://notcve.org/view.php?id=CVE-2017-1591
IBM WebSphere DataPower Appliances 7.0.0 through 7.6 is vulnerable to cross-site scripting. This vulnerability allows users to embed arbitrary JavaScript code in the Web UI thus altering the intended functionality potentially leading to credentials disclosure within a trusted session. IBM X-Force ID: 132368. IBM WebSphere DataPower Appliances versión 7.0.0 hasta 7.6, es vulnerable a ataques de tipo cross-site scripting. Esta vulnerabilidad permite a los usuarios insertar código JavaScript arbitrario en la interfaz de usuario web, y por lo tanto, alterar la funcionalidad deseada que podría conllevar a la divulgación de credenciales dentro de una sesión confiable. • http://www.ibm.com/support/docview.wss?uid=swg22008815 http://www.securityfocus.com/bid/101021 https://exchange.xforce.ibmcloud.com/vulnerabilities/132368 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 5.0EPSS: 0%CPEs: 36EXPL: 0CVE-2015-7427
https://notcve.org/view.php?id=CVE-2015-7427
IBM DataPower Gateway appliances with firmware 6.x before 6.0.0.17, 6.0.1.x before 6.0.1.17, 7.x before 7.0.0.10, 7.1.0.x before 7.1.0.7, and 7.2.x before 7.2.0.1 do not set the secure flag for unspecified cookies in an https session, which makes it easier for remote attackers to capture these cookies by intercepting their transmission within an http session. Dispositivos IBM DataPower Gateway con firmware 6.x en versiones anteriores a 6.0.0.17, 6.0.1.x en versiones anteriores a 6.0.1.17, 7.x en versiones anteriores a 7.0.0.10, 7.1.0.x en versiones anteriores a 7.1.0.7 y 7.2.x en versiones anteriores a 7.2.0.1 no establece el indicador de seguridad para cookies no especificadas en una sesión https, lo cual hace más fácil para atacantes remotos capturar estas cookies interceptando su transmisión dentro de una sesión http. • http://www-01.ibm.com/support/docview.wss?uid=swg1IT10279 http://www-01.ibm.com/support/docview.wss?uid=swg21969342 • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •
CVSS: 2.6EPSS: 0%CPEs: 1EXPL: 0CVE-2015-7412
https://notcve.org/view.php?id=CVE-2015-7412
The GatewayScript modules on IBM DataPower Gateways with software 7.2.0.x before 7.2.0.1, when the GatewayScript decryption API or a JWE decrypt action is enabled, do not require signed ciphertext data, which makes it easier for remote attackers to obtain plaintext data via a padding-oracle attack. Los módulos GatewayScript en IBM DataPower Gateways con software 7.2.0.x en versiones anteriores a 7.2.0.1, cuando la API de descifrado GatewayScript o una acción de descifrado JWE está activada, no requiere datos de texto cifrado firmados, lo que hace que sea más fácil para los atacantes remotos obtener datos de texto plano a través de un ataque padding-oracle. • http://www-01.ibm.com/support/docview.wss?uid=swg1IT10701 http://www-01.ibm.com/support/docview.wss?uid=swg21964170 • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •