Java System Identity Manager
Уязвимости
19
Эксплуатируемые
0
Макс. CVSS
9
Макс. EPSS
0.05836
Распределение по критичности
Критический
2
Высокий
1
Средний
16
Низкий
0
Также сопоставлено как (исходные строки): java_system_identity_manager
Топ уязвимостей
CVE-2009-1083Sun Java System Identity Manager (IdM) 7.0 до 8.0 в Linux, AIX, Solaris и HP-UX разрешает использование "управляющих символов" в паролях учетных записей пользователей, что позволяет удаленным злоумышленникам выполнять произвольные команды через векторы, связанные с "адаптерами ресурсов".
CVE-2009-1082Sun Java System Identity Manager (IdM) 7.0 до 8.0 позволяет удаленным аутентифицированным пользователям получать привилегии, отправляя специально созданные команды в Admin Console, как это продемонстрировано привилегиями для создания учетных записей и другими административными возможностями, связанными с действием saveNoValidate и идентификаторами saveNoValidateAllowedFormsAndWorkflows.
CVE-2008-5116Уязвимость обхода каталогов в idm/includes/helpServer.jsp в Sun Java System Identity Manager 6.0 - 6.0 SP4, 7.0 и 7.1 позволяет удаленным злоумышленникам читать произвольные файлы в файловой системе IDM-сервера через последовательности обхода каталогов в параметре ext.
CVE-2008-5115Уязвимость межсайтовой подделки запросов (CSRF) в Sun Java System Identity Manager 6.0 - 6.0 SP4, 7.0 и 7.1 позволяет удаленным злоумышленникам перехватывать аутентификацию администраторов для запросов, обновляющих пароль, через idm/admin/changeself.jsp.
CVE-2009-1077Реализация Change My Password в административном интерфейсе Sun Java System Identity Manager (IdM) 7.0 до 8.0 не обеспечивает соблюдение настройки свойства RequiresChallenge, что позволяет удаленным аутентифицированным пользователям изменять пароли других пользователей, как это было продемонстрировано путем изменения пароля администратора.
CVE-2009-1084Sun Java System Identity Manager (IdM) 7.0 до 8.0 неправильно ограничивает доступ к объекту System Configuration, что позволяет удаленным аутентифицированным администраторам и, возможно, удаленным злоумышленникам оказывать неуказанное воздействие, изменяя этот объект.
CVE-2008-5117Уязвимость открытого перенаправления в Sun Java System Identity Manager 6.0 - 6.0 SP4, 7.0 и 7.1 позволяет удаленным злоумышленникам перенаправлять пользователей на произвольные веб-сайты и проводить фишинговые атаки через неуказанные векторы.
CVE-2008-0241Уязвимость открытого перенаправления в /idm/user/login.jsp в Sun Java System Identity Manager 6.0 SP1 через SP3, 7.0 и 7.1 позволяет удаленным злоумышленникам перенаправлять пользователей на произвольные веб-сайты и проводить фишинговые атаки через URL в параметре nextPage.
CVE-2009-1076Sun Java System Identity Manager (IdM) 7.0 до 8.0 по-разному реагирует на неудачное использование функции входа в систему для конечного пользователя на основе вопросов в зависимости от того, существует ли учетная запись пользователя, что позволяет удаленным злоумышленникам перечислять действительные имена пользователей.
CVE-2009-1075Sun Java System Identity Manager (IdM) 7.0 до 8.0 по-разному реагирует на неудачное использование функции Forgot Password в зависимости от того, существует ли учетная запись пользователя, что позволяет удаленным злоумышленникам перечислять действительные имена пользователей.
CVE-2009-1074Sun Java System Identity Manager (IdM) 7.0 до 8.0 не использует SSL во всех ожидаемых обстоятельствах, что облегчает удаленным злоумышленникам получение конфиденциальной информации путем прослушивания сети, что связано с "устройствами завершения SSL" и отсутствием поддержки относительных URL-адресов.
CVE-2009-1081Множественные уязвимости межсайтового скриптинга (XSS) в Sun Java System Identity Manager (IdM) 7.0 до 8.0 позволяют удаленным злоумышленникам внедрять произвольный веб-скрипт или HTML через неуказанные векторы, также известные как Bug IDs 19595 и 19661.
CVE-2009-1080Множественные уязвимости межсайтового скриптинга (XSS) в Sun Java System Identity Manager (IdM) 7.0 до 8.0 позволяют удаленным злоумышленникам внедрять произвольный веб-скрипт или HTML через неуказанные векторы, также известные как Bug ID 19033.
CVE-2009-1079Множественные уязвимости межсайтового скриптинга (XSS) в Sun Java System Identity Manager (IdM) 7.0 до 8.0 позволяют удаленным злоумышленникам внедрять произвольный веб-скрипт или HTML через неуказанные векторы, также известные как Bug IDs 19659, 19660 и 19683.
CVE-2008-5118Sun Java System Identity Manager 6.0 - 6.0 SP4, 7.0 и 7.1 позволяет удаленным злоумышленникам внедрять фреймы с произвольных веб-сайтов и проводить фишинговые атаки через неуказанные векторы, связанные с "внедрением фреймов".
CVE-2008-5114Множественные уязвимости межсайтового скриптинга (XSS) в Sun Java System Identity Manager 6.0 - 6.0 SP4, 7.0 и 7.1 позволяют удаленным злоумышленникам внедрять произвольный веб-скрипт или HTML через неуказанные векторы.
CVE-2008-0240/idm/help/index.jsp в Sun Java System Identity Manager 6.0 SP1 через SP3, 7.0 и 7.1 позволяет удаленным злоумышленникам внедрять фреймы с произвольных веб-сайтов и проводить фишинговые атаки через параметр helpUrl, также известный как "frame injection".
CVE-2008-0239Множественные уязвимости межсайтового скриптинга (XSS) в Sun Java System Identity Manager 6.0 SP1 через SP3, 7.0 и 7.1 позволяют удаленным злоумышленникам внедрять произвольный HTML или веб-скрипт через параметры (1) cntry или lang в /idm/login.jsp, (2) параметр resultsForm в /idm/account/findForSelect.jsp или (3) параметр activeControl в /idm/user/main.jsp.
CVE-2009-1078Sun Java System Identity Manager (IdM) 7.0 до 8.0 не обеспечивает соблюдение ожидаемых требований к привилегиям для (1) удаления политик аудита и (2) изменения рабочих процессов, что позволяет удаленным аутентифицированным пользователям оказывать неуказанное воздействие.