Security Access Manager
Уязвимости
49
Эксплуатируемые
0
Макс. CVSS
10
Макс. EPSS
0.09044
Распределение по критичности
Критический
3
Высокий
13
Средний
29
Низкий
4
Затронутые диапазоны версий
10.0.0.0–10.0.7.17.0.1–7.0.1.109.0.0.0–9.0.7.09.0.0–9.0.3.19.0.0–9.0.49.0.1.0–9.0.5.09.0.1–9.0.69.0.7.0–9.0.7.29.0–9.0.7.1
Также сопоставлено как (исходные строки): security_access_manager_for_web,security_access_manager,security_verify_access,security_access_manager_9.0_firmware,security_access_manager_for_mobile
Топ уязвимостей
CVE-2018-1722IBM Security Access Manager Appliance 9.0.4.0 и 9.0.5.0 может позволить удаленное выполнение кода при работающих службах Advanced Access Control или Federation. IBM X-Force ID: 147370.
CVE-2020-4499IBM Security Access Manager 9.0.7 и IBM Security Verify Access 10.0.0 может позволить неавторизованному общедоступному клиенту Oauth обойти некоторые или все проверки подлинности и получить доступ к приложениям. IBM X-Force ID: 182216.
CVE-2016-3028IBM Security Access Manager for Web версий 7.0 до IF2 и 8.0 до 8.0.1.4 IF3 и Security Access Manager 9.0 до 9.0.1.0 IF5 позволяют удаленным аутентифицированным пользователям выполнять произвольные команды, используя административный доступ LMI.
CVE-2019-4135IBM Security Access Manager версий 9.0.1–9.0.6 подвержен уязвимости безопасности, которая может позволить аутентифицированным пользователям выдавать себя за других пользователей. IBM X-Force ID: 158331.
CVE-2016-3025IBM Security Access Manager for Mobile 8.x до версии 8.0.1.4 IF3 и Security Access Manager 9.x до версии 9.0.1.0 IF5 неправильно ограничивают неудачные попытки входа в систему, что упрощает удаленным злоумышленникам получение доступа с помощью brute-force подхода.
CVE-2023-30998IBM Security Access Manager Docker с 10.0.0.0 по 10.0.7.1 может позволить локальному пользователю получить root-доступ из-за неправильных элементов управления доступом. IBM X-Force ID: 254649.
CVE-2023-30997IBM Security Access Manager Docker с 10.0.0.0 по 10.0.7.1 может позволить локальному пользователю получить root-доступ из-за неправильных элементов управления доступом. IBM X-Force ID: 254638.
CVE-2018-1887IBM Security Access Manager Appliance 9.0.1.0, 9.0.2.0, 9.0.3.0, 9.0.4.0 и 9.0.5.0 содержит жестко закодированные учетные данные, такие как пароль или криптографический ключ, которые он использует для собственной входящей аутентификации, исходящей связи с внешними компонентами или шифрования внутренних данных. IBM X-Force ID: 152078.
CVE-2023-38371IBM Security Access Manager Docker с 10.0.0.0 по 10.0.7.1 использует более слабые, чем ожидалось, криптографические алгоритмы, которые могут позволить злоумышленнику расшифровать конфиденциальную информацию. IBM X-Force ID: 261198.
CVE-2021-20439IBM Security Access Manager 9.0 и IBM Security Verify Access Docker 10.0.0 хранят учетные данные пользователя в виде открытого текста, который может быть прочитан неавторизованным пользователем.
CVE-2019-4036IBM Security Access Manager Appliance может позволить неаутентифицированному атакующему вызвать отказ в обслуживании в компоненте обратного прокси. IBM X-Force ID: 156159.
CVE-2018-1850IBM Security Access Manager Appliance 9.0.3.1, 9.0.4.0 и 9.0.5.0 может позволить неавторизованные операции администрирования при работающих службах Advanced Access Control. IBM X-Force ID: 150998.
CVE-2018-1814IBM Security Access Manager Appliance 9.0.1.0, 9.0.2.0, 9.0.3.0, 9.0.4.0 и 9.0.5.0 использует более слабые, чем ожидалось, криптографические алгоритмы, которые могут позволить злоумышленнику расшифровать конфиденциальную информацию. IBM X-Force ID: 150018.
CVE-2019-4707IBM Security Access Manager Appliance 9.0.7.0 уязвим для атаки XML External Entity Injection (XXE) при обработке XML-данных. Удаленный злоумышленник может использовать эту уязвимость для раскрытия конфиденциальной информации или потребления ресурсов памяти. IBM X-Force ID: 172018.
CVE-2019-4145IBM Security Access Manager версий 9.0.1–9.0.6 может раскрывать конфиденциальную информацию в особых условиях локальному пользователю, которая может быть использована для дальнейших атак на систему. IBM X-Force ID: 158400.
CVE-2018-1970IBM Security Identity Manager 7.0.1 уязвим для атаки XML External Entity Injection (XXE) при обработке данных XML. Удаленный злоумышленник может использовать эту уязвимость для раскрытия конфиденциальной информации или потребления ресурсов памяти. IBM X-Force ID: 153751.
CVE-2019-4153IBM Security Access Manager версий 9.0.1–9.0.6 может позволить удаленному злоумышленнику проводить фишинговые атаки, используя атаку с открытым перенаправлением. Убедив жертву посетить специально созданный веб-сайт, удаленный злоумышленник может использовать эту уязвимость, чтобы подделать отображаемый URL-адрес и перенаправить пользователя на вредоносный веб-сайт, который будет казаться доверенным. Это может позволить злоумышленнику получить конфиденциальную информацию или провести дальнейшие атаки на жертву. IBM X-Force ID: 158517.
CVE-2023-38370IBM Security Access Manager Docker с 10.0.0.0 по 10.0.7.1 при определенных конфигурациях может позволить пользователю в сети устанавливать вредоносные пакеты. IBM X-Force ID: 261197.
CVE-2020-4461IBM Security Access Manager Appliance 9.0.7.1 может позволить аутентифицированному пользователю обойти систему безопасности, разрешив манипуляции с утверждениями id_token без проверки. IBM X-Force ID: 181481.
CVE-2018-1813IBM Security Access Manager Appliance 9.0.1.0, 9.0.2.0, 9.0.3.0, 9.0.4.0 и 9.0.5.0 использует неполный черный список для проверки ввода, что позволяет злоумышленникам обходить элементы управления приложениями, что приводит к прямому воздействию на систему и целостность данных. IBM X-Force ID: 150017.
CVE-2024-35137IBM Security Access Manager Docker 10.0.0.0 - 10.0.7.1 может позволить локальному пользователю повысить свои привилегии из-за раскрытия конфиденциальной информации о конфигурации. IBM X-Force ID: 292413.
CVE-2019-4725IBM Security Access Manager Appliance 9.0 уязвим для межсайтового скриптинга. Эта уязвимость позволяет пользователям встраивать произвольный код JavaScript в веб-интерфейс, тем самым изменяя предполагаемую функциональность, что потенциально может привести к раскрытию учетных данных в рамках доверенного сеанса. IBM X-Force ID: 172131.
CVE-2019-4552IBM Security Access Manager 9.0.7 и IBM Security Verify Access 10.0.0 уязвимы для атак с разделением HTTP-ответов. Удаленный злоумышленник может использовать эту уязвимость, используя специально созданный URL-адрес, чтобы заставить сервер вернуть разделенный ответ после щелчка по URL-адресу. Это позволит злоумышленнику проводить дальнейшие атаки, такие как отравление веб-кэша, межсайтовый скриптинг и, возможно, получить конфиденциальную информацию. IBM X-Force ID: 165960.
CVE-2019-4157IBM Security Access Manager версий 9.0.1–9.0.6 уязвим для межсайтового скриптинга. Эта уязвимость позволяет пользователям внедрять произвольный код JavaScript в веб-интерфейс, тем самым изменяя предполагаемую функциональность, что потенциально может привести к раскрытию учетных данных в рамках доверенного сеанса. IBM X-Force ID: 158573.
CVE-2018-1815IBM Security Access Manager Appliance 9.0.1.0, 9.0.2.0, 9.0.3.0, 9.0.4.0 и 9.0.5.0 для Enterprise Single-Sign On уязвим для межсайтового скриптинга. Эта уязвимость позволяет пользователям внедрять произвольный код JavaScript в веб-интерфейс, тем самым изменяя предполагаемую функциональность, что потенциально может привести к раскрытию учетных данных в рамках доверенного сеанса. IBM X-Force ID: 150019.