Aspera Console
Уязвимости
18
Эксплуатируемые
0
Макс. CVSS
9.1
Макс. EPSS
0.00585
Распределение по критичности
Критический
1
Высокий
5
Средний
11
Низкий
1
Затронутые диапазоны версий
3.3.0–3.4.93.4.0–3.4.23.4.0–3.4.43.4.0–3.4.53.4.0–3.4.8< 3.4.2
Также сопоставлено как (исходные строки): aspera_console
Топ уязвимостей
CVE-2022-43842IBM Aspera Console с 3.4.0 по 3.4.2 уязвима для SQL-инъекций. Удаленный злоумышленник может отправлять специально созданные SQL-запросы, которые могут позволить злоумышленнику просматривать, добавлять, изменять или удалять информацию в серверной базе данных. IBM X-Force ID: 239079.
CVE-2023-27272IBM Aspera Console 3.4.40-3.4.4 позволяет использовать пароли при вводе нового пользователя в систему.
CVE-2025-13379Консоль IBM Aspera 3.4.40-3.4.8 уязвима для инъекций SQL. Удаленный злоумышленник может отправлять специально созданные SQL-выражения, которые могут позволить злоумышленнику просматривать, добавлять, изменять или удалять информацию во внутренней базе данных.
CVE-2021-38963IBM Aspera Console с 3.4.0 по 3.4.4 может позволить удаленному аутентифицированному злоумышленнику выполнить произвольный код в системе, что вызвано уязвимостью CSV injection. Убедив жертву открыть специально созданный файл, злоумышленник может использовать эту уязвимость для выполнения произвольного кода в системе.
CVE-2022-43851Консоль IBM Aspera с 3.4.0 до 3.4.4
использует более слабые, чем ожидалось, криптографические алгоритмы, которые могут позволить злоумышленнику расшифровать высокочувствительную информацию.
CVE-2022-43845IBM Aspera Console с 3.4.0 по 3.4.4 может позволить удаленному злоумышленнику получить конфиденциальную информацию из-за невозможности установить флаг HTTPOnly. Удаленный злоумышленник может использовать эту уязвимость для получения конфиденциальной информации из cookie.
CVE-2021-38927IBM Aspera Console 3.4.0 уязвим для межсайтового скриптинга. Эта уязвимость позволяет пользователям внедрять произвольный код JavaScript в веб-интерфейс, изменяя, таким образом, предполагаемую функциональность, что потенциально может привести к раскрытию учетных данных в рамках доверенного сеанса. IBM X-Force ID: 210322.
CVE-2022-43850Консоль IBM Aspera с 3.4,0 до 3.4.4
Он уязвим для сценариев пересечения места. Эта уязвимость позволяет пользователям встраивать произвольный код JavaScript в Web UI, таким образом изменяя предполагаемую функциональность, потенциально приводя к раскрытию учетных данных в рамках надежного сеанса.
CVE-2022-43847Консоль IBM Aspera с 3.4,0 до 3.4.4
уязвим для инъекции заголовка HTTP, вызванного неправильной валидацией ввода заголовками HOST. Это может позволить злоумышленнику проводить различные атаки против уязвимой системы, включая перекрестные сценарии, отравление кэшем или угон сеанса.
CVE-2022-43575IBM Aspera Console 3.4.0 — 3.4.2 PL5 уязвим к межсайтовому скриптингу. Эта уязвимость позволяет пользователям внедрять произвольный код JavaScript в веб-интерфейс, тем самым изменяя предполагаемую функциональность, что потенциально может привести к раскрытию учетных данных в рамках доверенного сеанса. IBM X-Force ID: 238645.
CVE-2022-43384IBM Aspera Console 3.4.0 - 3.4.2 PL5 уязвима для межсайтового скриптинга. Эта уязвимость позволяет пользователям встраивать произвольный код JavaScript в веб-интерфейс, тем самым изменяя предполагаемую функциональность, что потенциально может привести к раскрытию учетных данных в рамках доверенного сеанса. IBM X-Force ID: 238645.
CVE-2025-13460IBM Aspera Console 3.3.0 - 3.4.8 может позволить злоумышленнику перечислять имена пользователей из-за наблюдаемого несоответствия ответа.
CVE-2022-43852IBM Aspera Console 3.4.0-3.4.4 может раскрывать конфиденциальную информацию в заголовки HTTP, которая может быть использована в дальнейших атаках на систему.
CVE-2025-13925IBM Aspera Console 3.4.7 хранит потенциально конфиденциальную информацию в файлах журналов, которые могут быть прочитаны локализованным привилегированным пользователем.
CVE-2025-13459IBM Aspera Console 3.3.30 - 3.4.8 может позволить привилегированному пользователю вызвать отказ в обслуживании из-за ненадлежащего применения поведенческого рабочего процесса.
CVE-2025-13212IBM Aspera Console 3.3.0 - 3.4.8 может позволить аутентифицированному пользователю вызвать отказ в обслуживании в службе электронной почты из-за неправильного управления частотой взаимодействия.
CVE-2022-43840Уязвимость IBM Aspera Console версий с 3.4.0 по 3.4.4 позволяет аутентифицированному злоумышленнику осуществить XPath-инъекцию, что может привести к раскрытию конфиденциальных данных приложения и/или определению структуры XML-документа [1]. Для устранения этой уязвимости рекомендуется обновить IBM Aspera Console до версии 3.4.5.
Источники:
- [1] https://www.ibm.com/support/pages/node/7169766
CVE-2022-43841IBM Aspera Console с 3.4.0 по 3.4.2 PL9 позволяет веб-страницам храниться локально, которые могут быть прочитаны другим пользователем в системе. IBM X-Force ID: 239078.