Openpages With Watson
Уязвимости
22
Эксплуатируемые
0
Макс. CVSS
8.8
Макс. EPSS
0.01427
Распределение по критичности
Критический
0
Высокий
6
Средний
16
Низкий
0
Затронутые диапазоны версий
8.1–8.1.0.2.18.3–8.3.0.2.78.3–8.3.0.38.3–8.3.0.3.18.3–8.3.0.3.29.0–9.0.0.29.0–9.0.0.3< 9.0.0.3
Также сопоставлено как (исходные строки): openpages_with_watson,openpages_grc_platform
Топ уязвимостей
CVE-2024-49779IBM OpenPages с Watson 8.3 и 9.0 может позволить удаленному злоумышленнику обойти ограничения безопасности, вызванные неправильной проверкой и управлением аутентификационными куки. Изменяя параметры токена CSRF и куки идентификатора сессии, используя куки другого пользователя, удаленный злоумышленник может использовать эту уязвимость для обхода ограничений безопасности и получения несанкционированного доступа к уязвимому приложению.
CVE-2023-40683IBM OpenPages with Watson 8.3 и 9.0 может позволить удаленному злоумышленнику обойти ограничения безопасности из-за недостаточных проверок авторизации. Аутентифицировавшись как пользователь OpenPages и используя непубличные API, злоумышленник может воспользоваться этой уязвимостью, чтобы обойти систему безопасности и получить несанкционированный административный доступ к приложению. IBM X-Force ID: 264005.
CVE-2021-29907IBM OpenPages with Watson 8.1 и 8.2 могут позволить аутентифицированному пользователю загрузить файл, который может выполнить произвольный код в системе. IBM X-Force ID: 207633.
CVE-2024-49782IBM OpenPages с Watson 8.3 и 9.0 может позволить удаленному злоумышленнику подделать идентичность почтового сервера при использовании безопасности SSL/TLS. Злоумышленник может использовать эту уязвимость, чтобы получить доступ к конфиденциальной информации, раскрываемой через уведомления по электронной почте, сгенерированные OpenPages, или нарушить доставку уведомлений.
CVE-2023-38738IBM OpenPages with Watson 8.3 и 9.0 может обеспечивать более слабую, чем ожидалось, безопасность в среде OpenPages, использующей собственную аутентификацию. Если OpenPages использует собственную аутентификацию, злоумышленник, имеющий доступ к базе данных OpenPages, может посредством ряда специально разработанных шагов использовать эту слабость и получить несанкционированный доступ к другим учетным записям OpenPages. IBM X-Force ID: 262594.
CVE-2024-49781IBM OpenPages с Watson 8.3 и 9.0 уязвим к атаке внедрения внешних сущностей XML (XXE) при обработке XML-данных. Удалённый злоумышленник может воспользоваться этой уязвимостью для раскрытия конфиденциальной информации или потребления ресурсов памяти.
CVE-2025-27367IBM OpenPages with Watson 8.3 и 9.0 уязвимы к неправильной проверке входных данных из-за обхода проверки на стороне клиента для типов данных и обязательных полей для объектов GRC, когда аутентифицированный пользователь отправляет специально созданный запрос на сервер, позволяя сохранить данные без хранения обязательных полей.
Источники:
- [1] https://www.ibm.com/support/pages/node/7239155
CVE-2024-49784IBM OpenPages with Watson 8.3 и 9.0
может предоставлять более слабую, чем ожидалось, безопасность при хранении зашифрованных данных с помощью шифрования AES и режима CBC. Если удаленный злоумышленник с доступом к базе данных или локальный злоумышленник с доступом к файлам сервера сможет извлечь значения зашифрованных данных, он может воспользоваться этим более слабым алгоритмом, чтобы использовать дополнительные криптографические методы для возможного извлечения зашифрованных данных.
Источники:
- [1] https://www.ibm.com/support/pages/node/7239145
CVE-2024-49783IBM OpenPages with Watson 8.3 и 9.0 может обеспечить более низкую, чем ожидалось, безопасность при хранении зашифрованных данных. Если аутентифицированный удаленный злоумышленник с доступом к базе данных или локальный злоумышленник с доступом к файлам сервера сможет извлечь зашифрованные данные, он сможет использовать эту уязвимость, чтобы применить дополнительные криптографические методы для возможного извлечения зашифрованных данных. Дополнительная информация: https://www.ibm.com/support/pages/node/7239145 [1]
Источники:
- [1] https://www.ibm.com/support/pages/node/7239145
CVE-2024-49780IBM OpenPages с Watson 8.3 и 9.0 может позволить удаленному злоумышленнику обходить каталоги на системе. Злоумышленник с привилегиями для выполнения Импорта Конфигурации может отправить специально подготовленный http-запрос, содержащий последовательности "точка-точка" (/../) в параметре имени файла, используемом в Импорт Конфигурации, чтобы записывать файлы в произвольные места за пределами указанного каталога и, возможно, перезаписывать произвольные файлы.
CVE-2024-49355IBM OpenPages с Watson 8.3 и 9.0 может записывать неправильно нейтрализованные данные в файлы журналов сервера, когда трассировка включена с помощью функции системной трассировки.
CVE-2024-35151IBM OpenPages with Watson 8.3 и 9.0 может позволить аутентифицированным пользователям получать доступ к конфиденциальной информации через ненадлежащие элементы управления авторизацией в API.
CVE-2023-43039IBM OpenPages with Watson 9.0 уязвима к межсайтовому скриптингу. Эта уязвимость позволяет пользователям внедрять произвольный JavaScript-код в веб-интерфейс, что может привести к раскрытию учетных данных в доверенной сессии [1].
Источники:
- [1] https://www.ibm.com/support/pages/node/7238923
CVE-2024-49337IBM OpenPages с Watson 8.3 и 9.0 IBM OpenPages
уязвим к HTML-инъекции, вызванной неправильной проверкой пользовательского ввода текстовых полей, используемых для формирования уведомлений по электронной почте рабочего процесса. Удаленный аутентифицированный злоумышленник может использовать эту уязвимость, используя теги HTML в текстовом поле объекта, чтобы внедрить вредоносный скрипт в электронную почту, который будет выполнен в почтовом клиенте жертвы в контексте безопасности сообщения OpenPages. Злоумышленник может использовать это для фишинга или атак на кражу личности.
CVE-2024-43176IBM OpenPages 9.0 может позволить аутентифицированному пользователю получить конфиденциальную информацию, такую как конфигурации, которые должны быть доступны только привилегированным пользователям.
CVE-2024-37527IBM OpenPages with Watson 8.3 и 9.0 уязвимы для межсайтового скриптинга. Эта уязвимость позволяет аутентифицированному пользователю внедрять произвольный код JavaScript в веб-интерфейс, тем самым изменяя предполагаемую функциональность, что потенциально может привести к раскрытию учетных данных в рамках доверенного сеанса.
CVE-2024-35117IBM OpenPages with Watson 9.0 может записывать конфиденциальную информацию, при определенных конфигурациях, в виде открытого текста в файлы трассировки системы, которые могут быть получены привилегированным пользователем.
CVE-2025-27369IBM OpenPages with Watson 8.3 и 9.0 уязвимы к раскрытию информации из-за более слабой, чем ожидалось, безопасности для определенных конечных точек REST, используемых для администрирования OpenPages. Аутентифицированный пользователь может получить определенную информацию о конфигурации системы и внутреннем состоянии, которая предназначена только для администраторов системы [1].
Источники:
- [1] https://www.ibm.com/support/pages/node/7239155
CVE-2025-1112IBM OpenPages with Watson 8.3 и 9.0 может позволить аутентифицированному пользователю получить конфиденциальную информацию, доступную только привилегированным пользователям [1].
Источники:
- [1] https://www.ibm.com/support/pages/node/7239151
CVE-2024-49344IBM OpenPages с Watson 8.3 и 9.0 IBM OpenPages
с включенной функцией чата Watson Assistant устанавливает сессию при входе пользователя в систему и использовании чата, но сессия чата остается активной после выхода.
CVE-2024-43196IBM OpenPages с Watson 8.3 и 9.0
приложение может позволить аутентифицированному пользователю манипулировать данными в приложении Анкеты, что позволяет пользователю подделывать ответы других пользователей.
CVE-2024-27257IBM OpenPages 8.3 и 9.0 потенциально раскрывает информацию об исходном коде на стороне клиента через использование JavaScript source maps для неавторизованных пользователей.