Documentum Content Server
Уязвимости
21
Эксплуатируемые
0
Макс. CVSS
9
Макс. EPSS
0.03994
Распределение по критичности
Критический
7
Высокий
9
Средний
4
Низкий
1
Затронутые диапазоны версий
≤ 6.7
Также сопоставлено как (исходные строки): documentum_content_server
Топ уязвимостей
CVE-2015-4544EMC Documentum Content Server версий до 7.1P20 и 7.2.x до 7.2P04 неправильно проверяет авторизацию для доступа к объекту dm_job, что позволяет удаленным аутентифицированным пользователям получать права суперпользователя через специально созданные операции с объектом. ПРИМЕЧАНИЕ: эта уязвимость существует из-за неполного исправления CVE-2014-4626.
CVE-2015-4534Java Method Server (JMS) в EMC Documentum Content Server версий до 6.7SP1 P32, 6.7SP2 до P25, 7.0 до P19, 7.1 до P16 и 7.2 до P02 позволяет удаленным аутентифицированным пользователям выполнять произвольный код путем подделки подписи для строки запроса, в которой отсутствует параметр method_verb.
CVE-2015-4533EMC Documentum Content Server версий до 6.7SP1 P32, 6.7SP2 до P25, 7.0 до P19, 7.1 до P16 и 7.2 до P02 неправильно проверяет авторизацию после создания объекта, что позволяет удаленным аутентифицированным пользователям выполнять произвольный код с правами суперпользователя через пользовательский скрипт. ПРИМЕЧАНИЕ: эта уязвимость существует из-за неполного исправления для CVE-2014-2513.
CVE-2015-4532EMC Documentum Content Server версий до 6.7SP1 P32, 6.7SP2 до P25, 7.0 до P19, 7.1 до P16 и 7.2 до P02 неправильно проверяет авторизацию и неправильно ограничивает типы объектов, что позволяет удаленным аутентифицированным пользователям запускать команды save RPC с правами суперпользователя и, следовательно, выполнять произвольный код через неуказанные векторы. ПРИМЕЧАНИЕ: эта уязвимость существует из-за неполного исправления для CVE-2014-2514.
CVE-2015-4531EMC Documentum Content Server версий до 6.7SP1 P32, 6.7SP2 до P25, 7.0 до P19, 7.1 до P16 и 7.2 до P02 неправильно проверяет авторизацию для подгрупп привилегированных групп, что позволяет удаленным аутентифицированным системным администраторам получить права суперпользователя и обойти предполагаемые ограничения на доступ к данным и действия сервера через неуказанные векторы. ПРИМЕЧАНИЕ: эта уязвимость существует из-за неполного исправления для CVE-2014-4622.
CVE-2014-4629EMC Documentum Content Server 7.0, 7.1 до версии 7.1 P10 и 6.7 до версии SP2 P19 позволяет удаленным аутентифицированным пользователям читать или удалять произвольные файлы через неуказанные векторы, связанные с небезопасной прямой ссылкой на объект.
CVE-2014-4626EMC Documentum Content Server до версии 6.7 SP1 P29, 6.7 SP2 до P18, 7.0 до P16 и 7.1 до P09 позволяет удаленным аутентифицированным пользователям получать привилегии путем (1) размещения команды в объекте dm_job и установки владельца этого объекта в привилегированного пользователя или размещения действия переименования в объекте dm_job_request и ожидания (2) dm_UserRename или (3) задачи службы dm_GroupRename, также известной как ESA-2014-105. ПРИМЕЧАНИЕ: эта уязвимость существует из-за неполного исправления CVE-2014-2515.
CVE-2014-4621EMC Documentum Content Server до версии 6.7 SP2 P17, 7.0 до P15 и 7.1 до P08 неправильно проверяет авторизацию для подтипов защищенных системных типов, что позволяет удаленным аутентифицированным пользователям получать права суперпользователя для создания системных объектов и обходить предусмотренные ограничения на доступ к данным и действия сервера через неуказанные векторы.
CVE-2014-4618EMC Documentum Content Server до версии 6.7 SP2 P16 и 7.x до версии 7.1 P07 позволяет удаленным аутентифицированным пользователям получать привилегии через созданный пользователем системный объект.
CVE-2014-2507EMC Documentum Content Server до 6.7 SP1 P28, 6.7 SP2 до P14, 7.0 до P15 и 7.1 до P05 позволяет удаленным аутентифицированным пользователям выполнять произвольные команды через метасимволы оболочки в аргументах неуказанных методов.
CVE-2014-2506EMC Documentum Content Server до 6.7 SP1 P28, 6.7 SP2 до P14, 7.0 до P15 и 7.1 до P05 позволяет удаленным аутентифицированным пользователям получать права суперпользователя для создания системных объектов и обходить предполагаемые ограничения на доступ к данным и действия сервера через неуказанные векторы.
CVE-2014-2514EMC Documentum Content Server до 6.7 SP1 P28, 6.7 SP2 до P15, 7.0 до P15 и 7.1 до P06 неправильно проверяет авторизацию и неправильно ограничивает типы объектов, что позволяет удаленным аутентифицированным пользователям запускать команды сохранения RPC с правами суперпользователя и, следовательно, выполнять произвольный код через неуказанные векторы.
CVE-2014-2513EMC Documentum Content Server до 6.7 SP1 P28, 6.7 SP2 до P15, 7.0 до P15 и 7.1 до P06 неправильно проверяет авторизацию после создания объекта, что позволяет удаленным аутентифицированным пользователям выполнять произвольный код с правами суперпользователя через пользовательский скрипт.
CVE-2015-4535Java Method Server (JMS) в EMC Documentum Content Server версий до 6.7SP1 P32, 6.7SP2 до P25, 7.0 до P19, 7.1 до P16 и 7.2 до P02, когда настроена опция __debug_trace__, позволяет удаленным аутентифицированным пользователям получать права суперпользователя, используя возможность чтения файла журнала, содержащего билет для входа в систему.
CVE-2014-2508EMC Documentum Content Server до 6.7 SP1 P28, 6.7 SP2 до P14, 7.0 до P15 и 7.1 до P05 позволяет удаленным аутентифицированным пользователям проводить атаки с внедрением Documentum Query Language (DQL) и обходить предполагаемые ограничения на действия с базой данных через векторы, включающие подсказки DQL.
CVE-2014-4622EMC Documentum Content Server до версии 6.7 SP2 P17, 7.0 до P15 и 7.1 до P08 неправильно проверяет авторизацию для подгрупп привилегированных групп, что позволяет удаленным аутентифицированным системным администраторам получать права суперпользователя и обходить предусмотренные ограничения на доступ к данным и действия сервера через неуказанные векторы.
CVE-2011-4144Неуказанная уязвимость в EMC Documentum Content Server 6.0, 6.5 до SP2 P02, 6.5 SP3 до SP3 P02 и 6.6 до P02 позволяет локальным пользователям получать "высшие привилегии суперпользователя", используя привилегии системного администратора.
CVE-2014-2521EMC Documentum Content Server до версий 6.7 SP2 P16 и 7.x до 7.1 P07 позволяет удаленным аутентифицированным пользователям читать конфиденциальные метаданные объекта через команду RPC.
CVE-2014-2520EMC Documentum Content Server до версий 6.7 SP2 P16 и 7.x до 7.1 P07, при использовании Oracle Database, неправильно ограничивает DQL hints, что позволяет удаленным аутентифицированным пользователям проводить атаки путем внедрения DQL и читать конфиденциальное содержимое базы данных через специально созданный запрос.
CVE-2014-0642EMC Documentum Content Server до 6.7 SP1 P26, 6.7 SP2 до P13, 7.0 до P13 и 7.1 до P02 позволяет удаленным аутентифицированным пользователям обходить предусмотренные ограничения доступа и читать метаданные из определенных папок через неуказанные векторы.
CVE-2015-4536EMC Documentum Content Server версий до 7.0 P20, 7.1 до P18 и 7.2 до P02, когда настроено трассировка RPC, сохраняет определенные обфусцированные данные пароля в файле журнала, что позволяет удаленным аутентифицированным пользователям получить конфиденциальную информацию, прочитав этот файл.