Documentum D2
Уязвимости
12
Эксплуатируемые
0
Макс. CVSS
9
Макс. EPSS
0.03657
Распределение по критичности
Критический
2
Высокий
2
Средний
6
Низкий
2
Затронутые диапазоны версий
≤ 4.2≤ 4.4≤ 4.5
Также сопоставлено как (исходные строки): documentum_d2
Топ уязвимостей
CVE-2015-0518Служба Properties в компоненте веб-службы D2FS в EMC Documentum D2 с 3.1 по SP1, 4.0 и 4.1 до 4.1 P22 и 4.2 до P11 позволяет удаленным аутентифицированным пользователям получать привилегии суперпользователя через неуказанный вызов метода, который изменяет разрешения группы.
CVE-2014-2504EMC Documentum D2 3.1 до P20, 3.1 SP1 до P02, 4.0 до P10, 4.1 до P13 и 4.2 до P01 позволяет удаленным аутентифицированным пользователям обходить предполагаемые ограничения доступа и выполнять произвольные запросы Documentum Query Language (DQL), вызывая (1) основной метод или (2) метод веб-службы D2FS.
CVE-2016-0888EMC Documentum D2 до 4.6 не имеет предназначенных ACL для объектов конфигурации, что позволяет удаленным аутентифицированным пользователям изменять объекты через неуказанные векторы.
CVE-2014-2515EMC Documentum D2 3.1 до P24, 3.1SP1 до P02, 4.0 до P11, 4.1 до P16 и 4.2 до P05 неправильно ограничивает билеты, предоставляемые D2GetAdminTicketMethod и D2RefreshCacheMethod, что позволяет удаленным аутентифицированным пользователям получать привилегии через запрос билета суперпользователя.
CVE-2016-9873EMC Documentum D2 версии 4.5 и EMC Documentum D2 версии 4.6 имеют уязвимость внедрения DQL, которая потенциально может быть использована злоумышленниками для компрометации уязвимой системы. Аутентифицированный злоумышленник с низкими привилегиями может использовать эту уязвимость для получения доступа к информации, изменения данных или нарушения работы служб, вызвав выполнение произвольных команд DQL в приложении.
CVE-2016-9872EMC Documentum D2 версии 4.5 и EMC Documentum D2 версии 4.6 имеют отраженные уязвимости межсайтового скриптинга, которые потенциально могут быть использованы злоумышленниками для компрометации уязвимой системы.
CVE-2016-6644EMC Documentum D2 4.5 до патча 15 и 4.6 до патча 03 позволяет удаленным злоумышленникам читать произвольные документы Docbase, используя знания значения r_object_id.
CVE-2015-0548Метод службы D2DownloadService.getDownloadUrls в EMC Documentum D2 4.1 и 4.2 до 4.2 P16 и 4.5 до P03 позволяет удаленным аутентифицированным пользователям проводить атаки с внедрением Documentum Query Language (DQL) и обходить предполагаемые ограничения доступа на чтение через неуказанные векторы.
CVE-2015-0547Метод службы D2CenterstageService.getComments в EMC Documentum D2 4.1 и 4.2 до 4.2 P16 и 4.5 до P03 позволяет удаленным аутентифицированным пользователям проводить атаки с внедрением Documentum Query Language (DQL) и обходить предполагаемые ограничения доступа на чтение через неуказанные векторы.
CVE-2015-0517Компонент D2-API в EMC Documentum D2 с 3.1 по SP1, 4.0 и 4.1 до 4.1 P22 и 4.2 до P11 помещает MD5-хеш фразы шифрования в файлы журналов, что позволяет удаленным аутентифицированным пользователям получать конфиденциальную информацию, читая файл.
CVE-2015-4537Lockbox в EMC Documentum D2 версий до 4.5 использует жестко закодированную парольную фразу, когда на сервере отсутствует файл D2.Lockbox, что облегчает удаленным аутентифицированным пользователям расшифровку билетов администратора, находя эту парольную фразу в декомпилированном JAR-архиве D2.
CVE-2015-0549Уязвимость межсайтового скриптинга (XSS) в EMC Documentum D2 до версии 4.5 позволяет удаленным аутентифицированным пользователям внедрять произвольный веб-скрипт или HTML через неуказанные векторы.