Business Process Manager
Уязвимости
101
Эксплуатируемые
0
Макс. CVSS
9
Макс. EPSS
0.02892
Распределение по критичности
Критический
2
Высокий
6
Средний
75
Низкий
18
Затронутые диапазоны версий
7.5.0.0–7.5.1.28.0.0.0–8.0.1.08.0.0.0–8.0.1.38.5.0.0–8.5.0.28.5.0.0–8.5.0.2017068.5.5.0–8.5.7.0
Также сопоставлено как (исходные строки): websphere,websphere_application_server,websphere_process_server,websphere_enterprise_service_bus,business_process_manager_enterprise_service_bus,business process manager,business_process_manager,business_automation_workflow,workflow_process_service,automation_workstream_services
Топ уязвимостей
CVE-2015-1961REST API в IBM Business Process Manager (BPM) 7.5.x через 7.5.1.2, 8.0.x через 8.0.1.3, 8.5.0 через 8.5.0.1, 8.5.5 через 8.5.5.0 и 8.5.6 через 8.5.6.0 позволяет удаленным аутентифицированным пользователям обходить намеченные ограничения доступа и выполнять произвольный код JavaScript на сервере через неуказанный вызов API.
BDU:2015-10826Уязвимость интерфейса REST API системы автоматизации деятельности предприятия Business Process Manager связана с недостатками контроля доступа. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, обойти существующие ограничения доступа и выполнить произвольный Java-скрипт с помощью специально сформированного API-запроса
CVE-2018-2000IBM Business Automation Workflow 18.0.0.0 и 18.0.0.1 уязвимы для межсайтовой подделки запросов, которая может позволить злоумышленнику выполнять вредоносные и несанкционированные действия, передаваемые от пользователя, которому доверяет веб-сайт. IBM X-Force ID: 154890.
CVE-2018-1674IBM Business Process Manager 8.5 - 8.6 и 18.0.0.0 - 18.0.0.1 уязвимы для SQL-инъекций. Удаленный злоумышленник может отправить специально созданные SQL-запросы, которые могут позволить злоумышленнику просматривать, добавлять, изменять или удалять информацию в серверной базе данных. IBM X-Force ID: 145109.
CVE-2017-1769IBM Business Process Manager 8.6 уязвим для подделки межсайтовых запросов, что может позволить злоумышленнику выполнять вредоносные и несанкционированные действия, передаваемые от пользователя, которому доверяет веб-сайт. IBM X-Force ID: 136783.
CVE-2017-1539IBM Business Process Manager 7.5, 8.0 и 8.5 уязвим для повышения привилегий из-за неправильного различения членства во внутренних группах от членства в группах реестра пользователей. Манипулируя членством в группах LDAP, злоумышленник может получить привилегированный доступ. IBM X-Force ID: 130807.
CVE-2019-4424IBM Business Automation Workflow 18.0.0.0, 18.0.0.1, 18.0.0.2, 19.0.0.1 и 19.0.0.2 уязвим для атаки XML External Entity Injection (XXE) при обработке данных XML. Удаленный злоумышленник может использовать эту уязвимость для раскрытия конфиденциальной информации или потребления ресурсов памяти. IBM X-Force ID: 162770.
CVE-2017-1527IBM Business Process Manager 7.5, 8.0 и 8.5 уязвим для атаки XML External Entity Injection (XXE) при обработке XML-данных. Удаленный злоумышленник может использовать эту уязвимость для раскрытия конфиденциальной информации или потребления ресурсов памяти. IBM X-Force ID: 130156.
CVE-2015-7441Remote Artifact Loader (RAL) в IBM WebSphere Process Server 7 и Business Process Manager Advanced 7.5 до 7.5.1.2, 8.0 до 8.0.1.3, 8.5.0 до 8.5.0.2, 8.5.5 до 8.5.5.0 и 8.5.6 до 8.5.6.2 неправильно использует SSL для своего HTTPS-соединения, что позволяет удаленным аутентифицированным пользователям получать конфиденциальную информацию или изменять данные через неуказанные векторы.
CVE-2022-22361IBM Business Automation Workflow traditional 21.0.1 - 21.0.3, 20.0.0.1 - 20.0.0.2, 19.0.0.1 - 19.0.0.3, 18.0.0.0 - 18.0.0.1, IBM Business Automation Workflow containers V21.0.1 - V21.0.3 20.0.0.1 - 20.0.0.2, IBM Business Process Manager 8.6.0.0 - 8.6.0.201803 и 8.5.0.0 - 8.5.0.201706 уязвим для межсайтовой подделки запросов, что может позволить злоумышленнику выполнять вредоносные и несанкционированные действия, передаваемые от пользователя, которому доверяет веб-сайт.
CVE-2021-38900IBM Business Process Manager 8.5 и 8.6 и IBM Business Automation Workflow 18.0, 19.0, 20.0 и 21.0 может позволить привилегированному пользователю получить конфиденциальную информацию из-за ненадлежащего контроля доступа. IBM X-Force ID: 209607.
CVE-2018-1997IBM Business Automation Workflow и Business Process Manager 18.0.0.0, 18.0.0.1 и 18.0.0.2 уязвимы для атак типа "отказ в обслуживании". Аутентифицированный злоумышленник может отправить специально созданный запрос, который исчерпывает память на стороне сервера. IBM X-Force ID: 154774.
CVE-2017-1628IBM Business Process Manager 8.6.0.0 позволяет аутентифицированным пользователям останавливать и возобновлять работу Event Manager, вызывая REST API с неправильными проверками авторизации.
CVE-2016-0349IBM Business Process Manager 8.5.6 до 8.5.6.2 и 8.5.7 до 8.5.7.CF201606 позволяет удаленным аутентифицированным пользователям обходить предполагаемые ограничения доступа и обновлять переменные экземпляра процесса через вызов REST API.
CVE-2015-0110IBM Business Process Manager (aka BPM) версий 7.5.x, 8.0.x и 8.5.x и WebSphere Lombardi Edition (aka WLE) версии 7.2.x позволяют удаленным аутентифицированным пользователям обходить предполагаемые ограничения доступа к внутренним типам служб через векторы, включающие URL-адрес executeServiceByName.
CVE-2014-4844Функциональность импорта/экспорта в IBM Business Process Manager (BPM) 7.5.x до 7.5.1.2, 8.0.x до 8.0.1.3 и 8.5.x до 8.5.5 позволяет удаленным аутентифицированным пользователям обходить предполагаемые ограничения доступа через действие проекта для (1) приложения процесса или (2) набора инструментов.
CVE-2019-4669IBM Business Process Manager 8.5.7.0 - 8.5.7.0 2017.06, 8.6.0.0 - 8.6.0.0 CF2018.03 и IBM Business Automation Workflow 18.0.0.1 - 19.0.0.3 уязвимы для SQL-инъекций. Удаленный злоумышленник может отправлять специально созданные SQL-запросы, которые позволят ему просматривать, добавлять, изменять или удалять информацию в серверной базе данных. IBM X-Force ID: 171254.
CVE-2020-4490IBM Business Automation Workflow 18 и 19, а также IBM Business Process Manager 8.0, 8.5 и 8.6 могут позволить удаленному злоумышленнику обойти ограничения безопасности, вызванные ошибкой обратного tabnabbing. Злоумышленник может использовать эту уязвимость и перенаправить жертву на фишинговый сайт. IBM X-Force ID: 181989.
CVE-2018-1848IBM Business Automation Workflow 18.0.0.0 и 18.0.0.1 уязвим для межсайтового скриптинга. Эта уязвимость позволяет пользователям внедрять произвольный код JavaScript в веб-интерфейс, изменяя, таким образом, предполагаемую функциональность, что потенциально может привести к раскрытию учетных данных в рамках доверенного сеанса. IBM X-Force ID: 150947.
CVE-2016-9693IBM Business Process Manager 7.5, 8.0 и 8.5 имеет возможность загрузки файлов, которая уязвима для ряда атак. В конечном счете, злоумышленник может заставить неаутентифицированного пользователя загрузить вредоносную нагрузку. Существующее ограничение типа файла может быть обойдено, так что полезная нагрузка может считаться исполняемой и нанести ущерб машине жертвы. IBM Reference #: 1998655.
CVE-2015-8524Уязвимость межсайтового скриптинга (XSS) в Process Portal в IBM Business Process Manager 8.5.0.x до 8.5.0.2, 8.5.5.x до 8.5.5.0 и 8.5.6.x до 8.5.6.2 позволяет удаленным злоумышленникам внедрять произвольный веб-скрипт или HTML через специально созданный URL.
CVE-2015-0101Уязвимость межсайтового скриптинга (XSS) в IBM Business Process Manager Standard 7.5.x до 7.5, 8.0.x до 8.0.1, 8.5.x до 8.5.5; IBM Business Process Manager Express 7.5.x до 7.5, 8.0.x до 8.0.1, 8.5.x до 8.5.5; и IBM Business Process Manager Advanced 7.5.x до 7.5, 8.0.x до 8.0.1, 8.5.x до 8.5.5.
CVE-2014-0908Реализация атрибутов пользователя в IBM Business Process Manager (BPM) 7.5.x через 7.5.1.2, 8.0.x через 8.0.1.2 и 8.5.x через 8.5.0.1 не проверяет авторизацию для доступа на чтение или запись к значениям атрибутов, что позволяет удаленным аутентифицированным пользователям получать конфиденциальную информацию, настраивать уведомления по электронной почте или изменять назначения задач через вызовы REST API.
CVE-2021-29753IBM Business Automation Workflow 18, 19, 20, 21 и IBM Business Process Manager 8.5 и d8.6 передают или хранят учетные данные аутентификации, но используют небезопасный метод, который подвержен несанкционированному перехвату и/или извлечению.
CVE-2019-4425IBM Business Automation Workflow 18.0.0.0, 18.0.0.1 и 18.0.0.2 может позволить пользователю получать крайне конфиденциальную информацию от другого пользователя путем вставки ссылок, по которым будут переходить ничего не подозревающие пользователи. IBM X-Force ID: 162771.