Rational Engineering Lifecycle Manager
Уязвимости
141
Эксплуатируемые
0
Макс. CVSS
8.8
Макс. EPSS
0.03366
Распределение по критичности
Критический
0
Высокий
12
Средний
124
Низкий
5
Затронутые диапазоны версий
3.0–3.0.1.64.0.3–4.0.75.0.0–5.0.25.0–5.0.25.0–6.0.66.0.0–6.0.56.0–6.0.46.0–6.0.66.0–6.0.6.1≤ 4.06
Также сопоставлено как (исходные строки): rhapsody_model_manager,doors_next,rational_team_concert,rational_doors_next_generation,rational_quality_manager,collaborative_lifecycle_management,engineering_lifecycle_management,rational_software_architect_design_manager,rational_collaborative_lifecycle_management,rational_engineering_lifecycle_manager,rational_rhapsody_design_manager,removable_media_management
Топ уязвимостей
CVE-2021-29844Продукты IBM Jazz Team Server уязвимы для подделки запросов на стороне сервера (SSRF). Это может позволить аутентифицированному злоумышленнику отправлять несанкционированные запросы из системы, что потенциально может привести к перечислению сети или облегчению других атак.
CVE-2020-4495IBM Jazz Foundation и продукты IBM Engineering могут позволить удаленному злоумышленнику обойти ограничения безопасности, вызванные неправильным контролем доступа. Отправив специально созданный запрос к REST API, злоумышленник может использовать эту уязвимость для обхода ограничений доступа и выполнения произвольных действий с правами администратора. IBM X-Force ID: 182114.
CVE-2016-9707IBM Jazz Foundation уязвима для отказа в обслуживании, вызванного ошибкой XML External Entity Injection (XXE) при обработке данных XML. Удаленный злоумышленник может использовать эту уязвимость для раскрытия конфиденциальной информации или потребления всех доступных ресурсов памяти. IBM Reference #: 2000784.
CVE-2015-7440IBM Rational Collaborative Lifecycle Management (CLM) 3.0.1 до 3.0.1.6 iFix7 Interim Fix 1, 4.0.x до 4.0.7 iFix10, 5.0.x до 5.0.2 iFix15 и 6.0.x до 6.0.1 iFix4; Rational Quality Manager (RQM) 3.0.x до 3.0.1.6 iFix7 Interim Fix 1, 4.0.x до 4.0.7 iFix10, 5.0.x до 5.0.2 iFix15 и 6.0.x до 6.0.1 iFix4; Rational Team Concert (RTC) 3.0.x до 3.0.1.6 iFix7 Interim Fix 1, 4.0.x до 4.0.7 iFix10, 5.0.x до 5.0.2 iFix15 и 6.0.x до 6.0.1 iFix4; Rational Requirements Composer (RRC) 3.0.x до 3.0.1.6 iFix7 Interim Fix 1 и 4.0.x до 4.0.7 iFix10; Rational DOORS Next Generation (RDNG) 4.0.x до 4.0.7 iFix10, 5.0.x до 5.0.2 iFix15 и 6.0.x до 6.0.1 iFix4; Rational Engineering Lifecycle Manager (RELM) 4.0.3, 4.0.4, 4.0.5, 4.0.6 и 4.0.7 до iFix10, 5.0.x до 5.0.2 iFix1 и 6.0.x до 6.0.2; Rational Rhapsody Design Manager (Rhapsody DM) 4.0.x до 4.0.7 iFix10, 5.0.x до 5.0.2 iFix15 и 6.0.x до 6.0.1 iFix4; и Rational Software Architect Design Manager (RSA DM) 4.0.x до 4.0.7 iFix10, 5.0.x до 5.0.2 iFix15 и 6.0.x до 6.0.1 iFix4 могут позволить локальным пользователям получить привилегии через неуказанные векторы. IBM X-Force ID: 108098.
CVE-2021-29774Продукты IBM Jazz Team Server могут позволить аутентифицированному пользователю получить повышенные привилегии при определенных конфигурациях. IBM X-Force ID: 203025.
CVE-2020-4965Продукты IBM Jazz Team Server используют более слабые, чем ожидалось, криптографические алгоритмы, которые могут позволить злоумышленнику расшифровать конфиденциальную информацию. IBM X-Force ID: 192422.
CVE-2019-4252IBM Rational Collaborative Lifecycle Management 6.0 - 6.0.6.1 может позволить удаленному злоумышленнику перемещаться по каталогам в системе. Злоумышленник может отправить специально созданный URL-запрос, содержащий последовательности "dot dot" (/../), для просмотра произвольных файлов в системе. IBM X-Force ID: 159883.
CVE-2018-1608IBM Rational Engineering Lifecycle Manager версий 6.0–6.0.6 использует более слабые, чем ожидалось, криптографические алгоритмы, что может позволить злоумышленнику расшифровать строго конфиденциальную информацию. IBM X-Force ID: 143798.
CVE-2021-20502IBM Jazz Foundation Products уязвимы для атаки XML External Entity Injection (XXE) при обработке XML-данных. Удаленный злоумышленник может использовать эту уязвимость для раскрытия конфиденциальной информации или потребления ресурсов памяти. IBM X-Force ID: 198059.
CVE-2018-1846IBM Rational Engineering Lifecycle Manager 5.0 - 5.0.2 и 6.0 - 6.0.6 уязвимы для XML External Entity Injection (XXE) атаки при обработке XML данных. Удаленный злоумышленник может использовать эту уязвимость для раскрытия конфиденциальной информации или потребления ресурсов памяти. IBM X-Force ID: 150945.
CVE-2018-1607IBM Rational Engineering Lifecycle Manager версий 5.0–5.02 и 6.0–6.0.6 уязвим для атаки XML External Entity Injection (XXE) при обработке данных XML. Удаленный злоумышленник может использовать эту уязвимость для раскрытия конфиденциальной информации или потребления ресурсов памяти. IBM X-Force ID: 143797.
CVE-2018-1588IBM Jazz Foundation (IBM Rational Engineering Lifecycle Manager версий 5.0–5.02 и 6.0–6.0.6) уязвим для атаки XML External Entity Injection (XXE) при обработке данных XML. Удаленный злоумышленник может использовать эту уязвимость для раскрытия конфиденциальной информации или потребления ресурсов памяти. IBM X-Force ID: 143501.
CVE-2018-1492Продукты IBM Jazz Foundation могут позволить пользователю с физическим доступом к системе войти в систему под именем другого пользователя из-за того, что сервер не выходит должным образом из предыдущего сеанса. IBM X-Force ID: 140977.
CVE-2015-1928Jazz Team Server в Jazz Foundation в IBM Rational Collaborative Lifecycle Management (CLM) 3.x и 4.x до 4.0.7 IF9, 5.x до 5.0.2 IF11 и 6.x до 6.0.0 IF4; Rational Quality Manager (RQM) 3.x до 3.0.1.6 IF7, 4.x до 4.0.7 IF9, 5.x до 5.0.2 IF11 и 6.0 до 6.0.0 IF4; Rational Team Concert (RTC) 3.x до 3.0.1.6 IF7, 4.x до 4.0.7 IF9, 5.x до 5.0.2 IF11 и 6.0 до 6.0.0 IF4; Rational Requirements Composer (RRC) 3.x до 3.0.1.6 IF7 и 4.x до 4.0.7 IF9; Rational DOORS Next Generation (RDNG) 4.x до 4.0.7 IF9, 5.x до 5.0.2 IF11 и 6.0 до 6.0.0 IF4; Rational Engineering Lifecycle Manager (RELM) 4.0.3 через 4.0.7, 5.0 через 5.0.2 и 6.0.0; Rational Rhapsody Design Manager (DM) 4.0 через 4.0.7, 5.0 через 5.0.2 и 6.0.0; и Rational Software Architect Design Manager (DM) 4.0 через 4.0.7, 5.0 через 5.0.2 и 6.0.0 позволяет удаленным аутентифицированным пользователям проводить атаки с использованием clickjacking через специально созданный веб-сайт.
CVE-2021-29786Продукты IBM Jazz Team Server хранят учетные данные пользователей в виде открытого текста, который может быть прочитан аутентифицированным пользователем. IBM X-Force ID: 203172.
CVE-2021-20371IBM Jazz Foundation и продукты IBM Engineering могут позволить удаленному злоумышленнику получить конфиденциальную информацию, когда в браузере возвращается сообщение об ошибке. Эта информация может быть использована при дальнейших атаках на систему. IBM X-Force ID: 195516.
CVE-2020-4732IBM Jazz Foundation и продукты IBM Engineering могут позволить аутентифицированному пользователю получить конфиденциальную информацию из-за отсутствия ограничений безопасности. IBM X-Force ID: 188126.
CVE-2018-1539IBM Rational Engineering Lifecycle Manager версий 5.0–5.02 и 6.0–6.0.6 может позволить удаленным злоумышленникам обойти аутентификацию с помощью прямого запроса или принудительного просмотра страницы, отличной от предполагаемого URL-адреса. IBM X-Force ID: 142561.
CVE-2018-1423Продукты IBM Jazz Foundation могут раскрывать конфиденциальную информацию аутентифицированному злоумышленнику, которая может быть использована при дальнейших атаках на систему. IBM X-Force ID: 139026.
CVE-2017-1700IBM Jazz Team Server, влияющий на следующие продукты IBM Rational: Collaborative Lifecycle Management (CLM), Rational DOORS Next Generation (RDNG), Rational Engineering Lifecycle Manager (RELM), Rational Team Concert (RTC), Rational Quality Manager (RQM), Rational Rhapsody Design Manager (Rhapsody DM) и Rational Software Architect (RSA DM), может позволить аутентифицированному пользователю вызвать отказ в обслуживании из-за неправильной авторизации для ресурсоемких сценариев. IBM X-Force ID: 134392.
CVE-2016-0219Уязвимость XML External Entity (XXE) в IBM Rational Team Concert 3.0 до 3.0.1.6 iFix7 Interim Fix 1, 4.0 до 4.0.7 iFix10, 5.0 до 5.0.2 iFix15 и 6.0 до 6.0.1 iFix4 позволяет удаленным аутентифицированным пользователям вызывать отказ в обслуживании через специально созданные XML-данные. IBM X-Force ID: 109693.
CVE-2020-4974Продукты IBM Jazz Foundation уязвимы для подделки запросов на стороне сервера (SSRF). Это может позволить аутентифицированному злоумышленнику отправлять несанкционированные запросы из системы, что потенциально может привести к перечислению сети или облегчению других атак. IBM X-Force ID: 192434.
CVE-2015-7453Уязвимость межсайтового скриптинга (XSS) в IBM Rational Collaborative Lifecycle Management (CLM) 3.0.1 до 3.0.1.6 iFix7 Interim Fix 1, 4.0.x до 4.0.7 iFix10, 5.0.x до 5.0.2 iFix15 и 6.0.x до 6.0.1 iFix4; Rational Quality Manager (RQM) 3.0.x до 3.0.1.6 iFix7 Interim Fix 1, 4.0.x до 4.0.7 iFix10, 5.0.x до 5.0.2 iFix15 и 6.0.x до 6.0.1 iFix4; Rational Team Concert (RTC) 3.0.x до 3.0.1.6 iFix7 Interim Fix 1, 4.0.x до 4.0.7 iFix10, 5.0.x до 5.0.2 iFix15 и 6.0.x до 6.0.1 iFix4; Rational Requirements Composer (RRC) 3.0.x до 3.0.1.6 iFix7 Interim Fix 1 и 4.0.x до 4.0.7 iFix10; Rational DOORS Next Generation (RDNG) 4.0.x до 4.0.7 iFix10, 5.0.x до 5.0.2 iFix15 и 6.0.x до 6.0.1 iFix4; Rational Engineering Lifecycle Manager (RELM) 4.0.3, 4.0.4, 4.0.5, 4.0.6 и 4.0.7 до iFix10, 5.0.x до 5.0.2 iFix1 и 6.0.x до 6.0.2; Rational Rhapsody Design Manager (Rhapsody DM) 4.0.x до 4.0.7 iFix10, 5.0.x до 5.0.2 iFix15 и 6.0.x до 6.0.1 iFix4; и Rational Software Architect Design Manager (RSA DM) 4.0.x до 4.0.7 iFix10, 5.0.x до 5.0.2 iFix15 и 6.0.x до 6.0.1 iFix4 позволяет удаленным злоумышленникам внедрять произвольный веб-скрипт или HTML через неуказанные векторы. IBM X-Force ID: 108296.
CVE-2014-3037Уязвимость подделки межсайтовых запросов (CSRF) в IBM Configuration Management Application (aka VVC) в IBM Rational Engineering Lifecycle Manager до 4.0.7 и 5.x до 5.0.1, Rational Software Architect Design Manager до 4.0.7 и 5.x до 5.0.1 и Rational Rhapsody Design Manager до 4.0.7 и 5.x до 5.0.1 позволяет удаленным аутентифицированным пользователям перехватывать аутентификацию произвольных пользователей для запросов, которые вставляют XSS-последовательности.
CVE-2018-1694IBM Jazz applications (IBM Rational Collaborative Lifecycle Management 5.0 - 5.02 и 6.0 - 6.0.6, IBM Rational DOORS Next Generation 5.0 - 5.02 и 6.0 - 6.0.6, IBM Rational Engineering Lifecycle Manager 5.0 - 5.02 и 6.0 - 6.0.6, IBM Rational Quality Manager 5.0 - 5.02 и 6.0 - 6.0.6, IBM Rational Rhapsody Design Manager 5.0 - 5.02 и 6.0 - 6.0.6, IBM Rational Software Architect Design Manager 5.0 - 5.02 и 6.0 - 6.0.1, IBM Rational Team Concert 5.0 - 5.02 и 6.0 - 6.0.6) может позволить удаленному злоумышленнику получить конфиденциальную информацию, что вызвано невозможностью правильного включения HTTP Strict Transport Security. Злоумышленник может использовать эту уязвимость для получения конфиденциальной информации, используя методы "человек посередине". IBM X-Force ID: 145609.