Sametime
Уязвимости
17
Эксплуатируемые
0
Макс. CVSS
8.8
Макс. EPSS
0.00701
Распределение по критичности
Критический
0
Высокий
5
Средний
8
Низкий
4
Затронутые диапазоны версий
11.5–12.0.2< 12.0.2< 12.0.22< 12.0.26< 12.0.3
Также сопоставлено как (исходные строки): sametime
Топ уязвимостей
CVE-2023-50349Sametime подвержен уязвимости Cross Site Request Forgery (CSRF). Некоторые REST API в приложении Sametime Proxy могут позволить злоумышленнику выполнять вредоносные действия в приложении.
CVE-2021-27770Уязвимость была обнаружена в "FaviconService". Служба принимает URL-адрес в кодировке base64, который затем запрашивается веб-сервером. Мы предполагаем, что эта служба используется функцией «meetings», где пользователи могут указать внешний URL-адрес, по которому будет проходить онлайн-встреча.
CVE-2021-27771SID пользователя можно изменить, что приведет к произвольной загрузке файлов или удалению каталогов, что приведет к отказу в обслуживании. При обычном взаимодействии с приложением чата Sametime пользователи имеют cookie, содержащий их идентификатор сеанса (SID). Это значение также используется при отправке сообщений чата, получении уведомлений и/или передаче файлов.
CVE-2023-45718Sametime подвержен воздействию сбоя при аннулировании сеансов. Приложение устанавливает конфиденциальные значения cookie постоянным образом в веб-клиентах Sametime. Когда это происходит, значения cookie могут оставаться действительными даже после того, как пользователь закрыл свой сеанс.
CVE-2023-45696Sametime подвержен воздействию конфиденциальных полей с включенным автозаполнением в устаревшем веб-чате. По умолчанию это позволяет браузеру сохранять введенные пользователем данные.
CVE-2022-42446Начиная с Sametime 12, анонимные пользователи включены по умолчанию. После входа в систему как анонимный пользователь можно просматривать каталог пользователей и потенциально создавать чаты с внутренними пользователями.
CVE-2021-27772Пользователи могут читать групповые разговоры, не принимая в них активного участия. Помимо личных разговоров, пользователи могут начинать групповые разговоры с несколькими пользователями. Было обнаружено, что можно получить содержимое этих групповых разговоров, не будучи их частью. Это может привести к утечке информации, когда конфиденциальная информация, обсуждаемая в частных группах, читается другими пользователями без ведома пользователей.
CVE-2024-30122HCL Sametime подвержен неправильно настроенным заголовкам HTTP, связанным с безопасностью. Было обнаружено, что в ответах веб-служб отсутствуют некоторые заголовки HTTP. Это приведет к менее безопасной обработке браузером по умолчанию политик, контролируемых этими заголовками.
CVE-2023-50355HCL Sametime подвержен уязвимости, связанной с сообщениями об ошибках, содержащими конфиденциальную информацию. Злоумышленник может использовать эту информацию для запуска другой, более целенаправленной атаки.
CVE-2021-27769Утечка информации происходит, когда веб-сайт раскрывает информацию, которая может помочь злоумышленнику в дальнейшей эксплуатации системы. Эта информация может быть конфиденциальной или нет и автоматически не означает, что взлом вероятен. В целом, любая информация, которая может быть использована для атаки, должна быть ограничена, когда это возможно.
CVE-2021-27773Эта уязвимость позволяет пользователям выполнять атаку clickjacking в чате встречи.
CVE-2023-45716Sametime подвержен воздействию конфиденциальной информации, передаваемой в URL.
CVE-2024-30124HCL Sametime подвержен небезопасным сервисам, используемым в клиенте UIM по умолчанию. Неиспользуемая устаревшая служба REST была включена по умолчанию с использованием протокола HTTP. Злоумышленник потенциально может использовать эту конечную точку службы в злонамеренных целях.
CVE-2023-37540Настольный чат-клиент Sametime Connect включает, но не использует и не требует использования функции Eclipse под названием Secure Storage. Использование этой функции Eclipse для хранения конфиденциальных данных может привести к раскрытию этих данных.
CVE-2026-21791HCL Sametime для Android подвержена влиянии конфиденциального раскрытия информации. Информация о именах хостов записана в журналах приложений и определенных URL-адресах
CVE-2026-21786HCL Sametime для iOS подвержена влиянии конфиденциального раскрытия информации. Информация о Hostnames записывается в журналах приложений и определенных URL-адресах.
CVE-2025-31966HCL Sametime уязвим для сломанной проверки на стороне сервера. Хотя приложение выполняет проверки входных данных на стороне клиента, они не применяются веб-сервером. Злоумышленник может обойти эти ограничения, отправив манипулируемые HTTP-запросы непосредственно на сервер.