CVSS: 5.3EPSS: 0%CPEs: 2EXPL: 0CVE-2016-6644
https://notcve.org/view.php?id=CVE-2016-6644
EMC Documentum D2 4.5 before patch 15 and 4.6 before patch 03 allows remote attackers to read arbitrary Docbase documents by leveraging knowledge of an r_object_id value. EMC Documentum D2 4.5 en versiones anteriores a patch 15 y 4.6 en versiones anteriores a patch 03 permite a atacantes remotos leer documentos Docbase arbitrarios aprovechando el conocimiento de un valor r_object_id. • http://seclists.org/bugtraq/2016/Sep/18 http://www.securityfocus.com/bid/92906 http://www.securitytracker.com/id/1036796 • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor CWE-264: Permissions, Privileges, and Access Controls •
CVSS: 9.0EPSS: 0%CPEs: 1EXPL: 0CVE-2016-0888
https://notcve.org/view.php?id=CVE-2016-0888
EMC Documentum D2 before 4.6 lacks intended ACLs for configuration objects, which allows remote authenticated users to modify objects via unspecified vectors. EMC Documentum D2 en versiones anteriores a 4.6 carece de ACLs destinadas a objetos de configuración, lo que permite a usuarios remotos autenticados modificar objetos a través de vectores no especificados. • http://seclists.org/bugtraq/2016/Apr/20 http://www.securitytracker.com/id/1035459 •
CVSS: 3.5EPSS: 0%CPEs: 1EXPL: 0CVE-2015-4537
https://notcve.org/view.php?id=CVE-2015-4537
Lockbox in EMC Documentum D2 before 4.5 uses a hardcoded passphrase when a server lacks a D2.Lockbox file, which makes it easier for remote authenticated users to decrypt admin tickets by locating this passphrase in a decompiled D2 JAR archive. Vulnerabilidad en Lockbox en EMC Documentum D2 anterior a 4.5, utiliza una frase de acceso embebida cuando a un servidor le falta el fichero D2.Lockbox, lo que hace que sea más fácil para los usuarios remotos autenticados descifrar tickets de administración mediante la localización de esta frase de acceso en un archivo D2 JAR descompilado. • http://seclists.org/bugtraq/2015/Aug/117 http://www.securitytracker.com/id/1033345 • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •
CVSS: 3.5EPSS: 0%CPEs: 1EXPL: 0CVE-2015-0549
https://notcve.org/view.php?id=CVE-2015-0549
Cross-site scripting (XSS) vulnerability in EMC Documentum D2 before 4.5 allows remote authenticated users to inject arbitrary web script or HTML via unspecified vectors. Vulnerabilidad de XSS en EMC Documentum D2 anterior a 4.5 permite a usuarios remotos autenticados inyectar secuencias de comandos web arbitrarios o HTML a través de vectores no especificados. • http://seclists.org/bugtraq/2015/Jun/113 http://www.securitytracker.com/id/1032693 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 4.0EPSS: 0%CPEs: 5EXPL: 0CVE-2015-0517
https://notcve.org/view.php?id=CVE-2015-0517
The D2-API component in EMC Documentum D2 3.1 through SP1, 4.0 and 4.1 before 4.1 P22, and 4.2 before P11 places the MD5 hash of an encryption passphrase in log files, which allows remote authenticated users to obtain sensitive information by reading a file. El componente D2-API en EMC Documentum D2 3.1 hasta SP1, 4.0 y 4.1 anterior a 4.1 P22, y 4.2 anterior a P11 coloca el hash MD5 una frase de contraseña de cifrado en ficheros de registros, lo que permite a usuarios remotos autenticados obtener información sensible mediante la lectura de un fichero. • http://archives.neohapsis.com/archives/bugtraq/2015-02/0031.html http://www.securityfocus.com/bid/72501 http://www.securitytracker.com/id/1031693 https://exchange.xforce.ibmcloud.com/vulnerabilities/100874 • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •