cvelistv5 - cve-2023-47702

▼	URL	Tags
	psirt@us.ibm.com	https://exchange.xforce.ibmcloud.com/vulnerabilities/271196	VDB Entry, Vendor Advisory
	psirt@us.ibm.com	https://www.ibm.com/support/pages/node/7091157	Vendor Advisory

▼	Vendor	Product
	IBM	Security Guardium Key Lifecycle Manager

wid-sec-w-2023-3186

Vulnerability from csaf_certbund

Published

2023-12-19 23:00

Modified

2023-12-19 23:00

Summary

IBM Security Guardium: Mehrere Schwachstellen

Notes

Das BSI ist als Anbieter für die eigenen, zur Nutzung bereitgestellten Inhalte nach den allgemeinen Gesetzen verantwortlich. Nutzerinnen und Nutzer sind jedoch dafür verantwortlich, die Verwendung und/oder die Umsetzung der mit den Inhalten bereitgestellten Informationen sorgfältig im Einzelfall zu prüfen.

Produktbeschreibung

IBM Security Guardium ist eine Lösung für die Überwachung und Auditierung des Datenzugriffs.

Angriff

Ein entfernter, authentisierter Angreifer kann mehrere Schwachstellen in IBM Security Guardium ausnutzen, um Sicherheitsvorkehrungen zu umgehen, Informationen offenzulegen, Daten zu manipulieren und einen Cross Site Scripting Angriff durchzuführen.

Betroffene Betriebssysteme

- UNIX - Linux - Windows

JSON

To clipboard

{
  "document": {
    "aggregate_severity": {
      "text": "mittel"
    },
    "category": "csaf_base",
    "csaf_version": "2.0",
    "distribution": {
      "tlp": {
        "label": "WHITE",
        "url": "https://www.first.org/tlp/"
      }
    },
    "lang": "de-DE",
    "notes": [
      {
        "category": "legal_disclaimer",
        "text": "Das BSI ist als Anbieter f\u00fcr die eigenen, zur Nutzung bereitgestellten Inhalte nach den allgemeinen Gesetzen verantwortlich. Nutzerinnen und Nutzer sind jedoch daf\u00fcr verantwortlich, die Verwendung und/oder die Umsetzung der mit den Inhalten bereitgestellten Informationen sorgf\u00e4ltig im Einzelfall zu pr\u00fcfen."
      },
      {
        "category": "description",
        "text": "IBM Security Guardium ist eine L\u00f6sung f\u00fcr die \u00dcberwachung und Auditierung des Datenzugriffs.",
        "title": "Produktbeschreibung"
      },
      {
        "category": "summary",
        "text": "Ein entfernter, authentisierter Angreifer kann mehrere Schwachstellen in IBM Security Guardium ausnutzen, um Sicherheitsvorkehrungen zu umgehen, Informationen offenzulegen, Daten zu manipulieren und einen Cross Site Scripting Angriff durchzuf\u00fchren.",
        "title": "Angriff"
      },
      {
        "category": "general",
        "text": "- UNIX\n- Linux\n- Windows",
        "title": "Betroffene Betriebssysteme"
      }
    ],
    "publisher": {
      "category": "other",
      "contact_details": "csaf-provider@cert-bund.de",
      "name": "Bundesamt f\u00fcr Sicherheit in der Informationstechnik",
      "namespace": "https://www.bsi.bund.de"
    },
    "references": [
      {
        "category": "self",
        "summary": "WID-SEC-W-2023-3186 - CSAF Version",
        "url": "https://wid.cert-bund.de/.well-known/csaf/white/2023/wid-sec-w-2023-3186.json"
      },
      {
        "category": "self",
        "summary": "WID-SEC-2023-3186 - Portal Version",
        "url": "https://wid.cert-bund.de/portal/wid/securityadvisory?name=WID-SEC-2023-3186"
      },
      {
        "category": "external",
        "summary": "IBM Security Bulletin vom 2023-12-19",
        "url": "https://www.ibm.com/support/pages/node/7091157"
      },
      {
        "category": "external",
        "summary": "GitHub Advisory Database vom 2023-12-19",
        "url": "https://github.com/advisories/GHSA-vxjj-qm22-4cqm"
      }
    ],
    "source_lang": "en-US",
    "title": "IBM Security Guardium: Mehrere Schwachstellen",
    "tracking": {
      "current_release_date": "2023-12-19T23:00:00.000+00:00",
      "generator": {
        "date": "2024-08-15T18:03:01.181+00:00",
        "engine": {
          "name": "BSI-WID",
          "version": "1.3.5"
        }
      },
      "id": "WID-SEC-W-2023-3186",
      "initial_release_date": "2023-12-19T23:00:00.000+00:00",
      "revision_history": [
        {
          "date": "2023-12-19T23:00:00.000+00:00",
          "number": "1",
          "summary": "Initiale Fassung"
        }
      ],
      "status": "final",
      "version": "1"
    }
  },
  "product_tree": {
    "branches": [
      {
        "branches": [
          {
            "category": "product_name",
            "name": "IBM Security Guardium Key Lifecycle Manager \u003c 4.2",
            "product": {
              "name": "IBM Security Guardium Key Lifecycle Manager \u003c 4.2",
              "product_id": "T027545",
              "product_identification_helper": {
                "cpe": "cpe:/a:ibm:security_guardium:key_lifecycle_manager_4.2"
              }
            }
          }
        ],
        "category": "vendor",
        "name": "IBM"
      }
    ]
  },
  "vulnerabilities": [
    {
      "cve": "CVE-2023-47707",
      "notes": [
        {
          "category": "description",
          "text": "In IBM Security Guardium existieren mehrere Schwachstellen. Diese bestehen aufgrund von hart kodierten Anmeldetaten, ungen\u00fcgende Eingabe\u00fcberpr\u00fcfungen, ungen\u00fcgender \u00dcberpr\u00fcfung von Uploads, Directory Traversal Problemen und unsachgem\u00e4\u00dfer Fehlermeldungen. Ein Angreifer kann diese Schwachstellen ausnutzen, um Sicherheitsvorkehrungen zu umgehen, Informationen offenzulegen, Daten zu manipulieren und einen Cross Site Scripting Angriff durchzuf\u00fchren. Zur Ausnutzung einiger dieser Schwachstellen ist eine Authentisierung oder Nutzeraktion n\u00f6tig."
        }
      ],
      "release_date": "2023-12-19T23:00:00.000+00:00",
      "title": "CVE-2023-47707"
    },
    {
      "cve": "CVE-2023-47706",
      "notes": [
        {
          "category": "description",
          "text": "In IBM Security Guardium existieren mehrere Schwachstellen. Diese bestehen aufgrund von hart kodierten Anmeldetaten, ungen\u00fcgende Eingabe\u00fcberpr\u00fcfungen, ungen\u00fcgender \u00dcberpr\u00fcfung von Uploads, Directory Traversal Problemen und unsachgem\u00e4\u00dfer Fehlermeldungen. Ein Angreifer kann diese Schwachstellen ausnutzen, um Sicherheitsvorkehrungen zu umgehen, Informationen offenzulegen, Daten zu manipulieren und einen Cross Site Scripting Angriff durchzuf\u00fchren. Zur Ausnutzung einiger dieser Schwachstellen ist eine Authentisierung oder Nutzeraktion n\u00f6tig."
        }
      ],
      "release_date": "2023-12-19T23:00:00.000+00:00",
      "title": "CVE-2023-47706"
    },
    {
      "cve": "CVE-2023-47705",
      "notes": [
        {
          "category": "description",
          "text": "In IBM Security Guardium existieren mehrere Schwachstellen. Diese bestehen aufgrund von hart kodierten Anmeldetaten, ungen\u00fcgende Eingabe\u00fcberpr\u00fcfungen, ungen\u00fcgender \u00dcberpr\u00fcfung von Uploads, Directory Traversal Problemen und unsachgem\u00e4\u00dfer Fehlermeldungen. Ein Angreifer kann diese Schwachstellen ausnutzen, um Sicherheitsvorkehrungen zu umgehen, Informationen offenzulegen, Daten zu manipulieren und einen Cross Site Scripting Angriff durchzuf\u00fchren. Zur Ausnutzung einiger dieser Schwachstellen ist eine Authentisierung oder Nutzeraktion n\u00f6tig."
        }
      ],
      "release_date": "2023-12-19T23:00:00.000+00:00",
      "title": "CVE-2023-47705"
    },
    {
      "cve": "CVE-2023-47704",
      "notes": [
        {
          "category": "description",
          "text": "In IBM Security Guardium existieren mehrere Schwachstellen. Diese bestehen aufgrund von hart kodierten Anmeldetaten, ungen\u00fcgende Eingabe\u00fcberpr\u00fcfungen, ungen\u00fcgender \u00dcberpr\u00fcfung von Uploads, Directory Traversal Problemen und unsachgem\u00e4\u00dfer Fehlermeldungen. Ein Angreifer kann diese Schwachstellen ausnutzen, um Sicherheitsvorkehrungen zu umgehen, Informationen offenzulegen, Daten zu manipulieren und einen Cross Site Scripting Angriff durchzuf\u00fchren. Zur Ausnutzung einiger dieser Schwachstellen ist eine Authentisierung oder Nutzeraktion n\u00f6tig."
        }
      ],
      "release_date": "2023-12-19T23:00:00.000+00:00",
      "title": "CVE-2023-47704"
    },
    {
      "cve": "CVE-2023-47703",
      "notes": [
        {
          "category": "description",
          "text": "In IBM Security Guardium existieren mehrere Schwachstellen. Diese bestehen aufgrund von hart kodierten Anmeldetaten, ungen\u00fcgende Eingabe\u00fcberpr\u00fcfungen, ungen\u00fcgender \u00dcberpr\u00fcfung von Uploads, Directory Traversal Problemen und unsachgem\u00e4\u00dfer Fehlermeldungen. Ein Angreifer kann diese Schwachstellen ausnutzen, um Sicherheitsvorkehrungen zu umgehen, Informationen offenzulegen, Daten zu manipulieren und einen Cross Site Scripting Angriff durchzuf\u00fchren. Zur Ausnutzung einiger dieser Schwachstellen ist eine Authentisierung oder Nutzeraktion n\u00f6tig."
        }
      ],
      "release_date": "2023-12-19T23:00:00.000+00:00",
      "title": "CVE-2023-47703"
    },
    {
      "cve": "CVE-2023-47702",
      "notes": [
        {
          "category": "description",
          "text": "In IBM Security Guardium existieren mehrere Schwachstellen. Diese bestehen aufgrund von hart kodierten Anmeldetaten, ungen\u00fcgende Eingabe\u00fcberpr\u00fcfungen, ungen\u00fcgender \u00dcberpr\u00fcfung von Uploads, Directory Traversal Problemen und unsachgem\u00e4\u00dfer Fehlermeldungen. Ein Angreifer kann diese Schwachstellen ausnutzen, um Sicherheitsvorkehrungen zu umgehen, Informationen offenzulegen, Daten zu manipulieren und einen Cross Site Scripting Angriff durchzuf\u00fchren. Zur Ausnutzung einiger dieser Schwachstellen ist eine Authentisierung oder Nutzeraktion n\u00f6tig."
        }
      ],
      "release_date": "2023-12-19T23:00:00.000+00:00",
      "title": "CVE-2023-47702"
    }
  ]
}

ghsa-gcrp-3x2h-3w2h

Vulnerability from github

Published

2023-12-20 03:30

Modified

2023-12-20 03:30

Severity ?

4.3 (Medium) - CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N

Details

IBM Security Guardium Key Lifecycle Manager 4.3 could allow a remote attacker to traverse directories on the system. An attacker could send a specially crafted URL request containing "dot dot" sequences (/../) to view modify files on the system. IBM X-Force ID: 271196.

Show details on source website

JSON

To clipboard

{
  "affected": [],
  "aliases": [
    "CVE-2023-47702"
  ],
  "database_specific": {
    "cwe_ids": [
      "CWE-22"
    ],
    "github_reviewed": false,
    "github_reviewed_at": null,
    "nvd_published_at": "2023-12-20T02:15:43Z",
    "severity": "MODERATE"
  },
  "details": "IBM Security Guardium Key Lifecycle Manager 4.3 could allow a remote attacker to traverse directories on the system. An attacker could send a specially crafted URL request containing \"dot dot\" sequences (/../) to view modify files on the system.  IBM X-Force ID:  271196.",
  "id": "GHSA-gcrp-3x2h-3w2h",
  "modified": "2023-12-20T03:30:23Z",
  "published": "2023-12-20T03:30:23Z",
  "references": [
    {
      "type": "ADVISORY",
      "url": "https://nvd.nist.gov/vuln/detail/CVE-2023-47702"
    },
    {
      "type": "WEB",
      "url": "https://exchange.xforce.ibmcloud.com/vulnerabilities/271196"
    },
    {
      "type": "WEB",
      "url": "https://www.ibm.com/support/pages/node/7091157"
    }
  ],
  "schema_version": "1.4.0",
  "severity": [
    {
      "score": "CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N",
      "type": "CVSS_V3"
    }
  ]
}

gsd-2023-47702

Vulnerability from gsd

Modified

2023-12-13 01:20

Details

IBM Security Guardium Key Lifecycle Manager 4.3 could allow a remote attacker to traverse directories on the system. An attacker could send a specially crafted URL request containing "dot dot" sequences (/../) to view modify files on the system. IBM X-Force ID: 271196.

Aliases

CVE-2023-47702

Aliases

CVE-2023-47702

JSON

To clipboard

{
  "GSD": {
    "alias": "CVE-2023-47702",
    "id": "GSD-2023-47702"
  },
  "gsd": {
    "metadata": {
      "exploitCode": "unknown",
      "remediation": "unknown",
      "reportConfidence": "confirmed",
      "type": "vulnerability"
    },
    "osvSchema": {
      "aliases": [
        "CVE-2023-47702"
      ],
      "details": "IBM Security Guardium Key Lifecycle Manager 4.3 could allow a remote attacker to traverse directories on the system. An attacker could send a specially crafted URL request containing \"dot dot\" sequences (/../) to view modify files on the system.  IBM X-Force ID:  271196.",
      "id": "GSD-2023-47702",
      "modified": "2023-12-13T01:20:51.363782Z",
      "schema_version": "1.4.0"
    }
  },
  "namespaces": {
    "cve.org": {
      "CVE_data_meta": {
        "ASSIGNER": "psirt@us.ibm.com",
        "ID": "CVE-2023-47702",
        "STATE": "PUBLIC"
      },
      "affects": {
        "vendor": {
          "vendor_data": [
            {
              "product": {
                "product_data": [
                  {
                    "product_name": "Security Guardium Key Lifecycle Manager",
                    "version": {
                      "version_data": [
                        {
                          "version_affected": "=",
                          "version_value": "4.3"
                        }
                      ]
                    }
                  }
                ]
              },
              "vendor_name": "IBM"
            }
          ]
        }
      },
      "data_format": "MITRE",
      "data_type": "CVE",
      "data_version": "4.0",
      "description": {
        "description_data": [
          {
            "lang": "eng",
            "value": "IBM Security Guardium Key Lifecycle Manager 4.3 could allow a remote attacker to traverse directories on the system. An attacker could send a specially crafted URL request containing \"dot dot\" sequences (/../) to view modify files on the system.  IBM X-Force ID:  271196."
          }
        ]
      },
      "generator": {
        "engine": "Vulnogram 0.1.0-dev"
      },
      "impact": {
        "cvss": [
          {
            "attackComplexity": "LOW",
            "attackVector": "NETWORK",
            "availabilityImpact": "NONE",
            "baseScore": 4.3,
            "baseSeverity": "MEDIUM",
            "confidentialityImpact": "NONE",
            "integrityImpact": "LOW",
            "privilegesRequired": "LOW",
            "scope": "UNCHANGED",
            "userInteraction": "NONE",
            "vectorString": "CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N",
            "version": "3.1"
          }
        ]
      },
      "problemtype": {
        "problemtype_data": [
          {
            "description": [
              {
                "cweId": "CWE-22",
                "lang": "eng",
                "value": "CWE-22 Improper Limitation of a Pathname to a Restricted Directory (\u0027Path Traversal\u0027)"
              }
            ]
          }
        ]
      },
      "references": {
        "reference_data": [
          {
            "name": "https://www.ibm.com/support/pages/node/7091157",
            "refsource": "MISC",
            "url": "https://www.ibm.com/support/pages/node/7091157"
          },
          {
            "name": "https://exchange.xforce.ibmcloud.com/vulnerabilities/271196",
            "refsource": "MISC",
            "url": "https://exchange.xforce.ibmcloud.com/vulnerabilities/271196"
          }
        ]
      },
      "source": {
        "discovery": "UNKNOWN"
      }
    },
    "nvd.nist.gov": {
      "cve": {
        "configurations": [
          {
            "nodes": [
              {
                "cpeMatch": [
                  {
                    "criteria": "cpe:2.3:a:ibm:security_guardium_key_lifecycle_manager:*:*:*:*:*:*:*:*",
                    "matchCriteriaId": "66451AC9-420C-4002-9D00-47735D9ED072",
                    "versionEndExcluding": "4.2.0.2",
                    "versionStartIncluding": "4.2.0",
                    "vulnerable": true
                  }
                ],
                "negate": false,
                "operator": "OR"
              },
              {
                "cpeMatch": [
                  {
                    "criteria": "cpe:2.3:o:ibm:aix:-:*:*:*:*:*:*:*",
                    "matchCriteriaId": "E492C463-D76E-49B7-A4D4-3B499E422D89",
                    "vulnerable": false
                  },
                  {
                    "criteria": "cpe:2.3:o:linux:linux_kernel:-:*:*:*:*:*:*:*",
                    "matchCriteriaId": "703AF700-7A70-47E2-BC3A-7FD03B3CA9C1",
                    "vulnerable": false
                  },
                  {
                    "criteria": "cpe:2.3:o:microsoft:windows:-:*:*:*:*:*:*:*",
                    "matchCriteriaId": "A2572D17-1DE6-457B-99CC-64AFD54487EA",
                    "vulnerable": false
                  }
                ],
                "negate": false,
                "operator": "OR"
              }
            ],
            "operator": "AND"
          }
        ],
        "descriptions": [
          {
            "lang": "en",
            "value": "IBM Security Guardium Key Lifecycle Manager 4.3 could allow a remote attacker to traverse directories on the system. An attacker could send a specially crafted URL request containing \"dot dot\" sequences (/../) to view modify files on the system.  IBM X-Force ID:  271196."
          },
          {
            "lang": "es",
            "value": "IBM Security Guardium Key Lifecycle Manager 4.3 podr\u00eda permitir que un atacante remoto atraviese directorios del sistema. Un atacante podr\u00eda enviar una solicitud URL especialmente manipulada que contenga secuencias de \"puntos\" (/../) para ver los archivos modificados en el sistema. ID de IBM X-Force: 271196."
          }
        ],
        "id": "CVE-2023-47702",
        "lastModified": "2023-12-22T10:03:25.553",
        "metrics": {
          "cvssMetricV31": [
            {
              "cvssData": {
                "attackComplexity": "LOW",
                "attackVector": "NETWORK",
                "availabilityImpact": "NONE",
                "baseScore": 9.1,
                "baseSeverity": "CRITICAL",
                "confidentialityImpact": "HIGH",
                "integrityImpact": "HIGH",
                "privilegesRequired": "NONE",
                "scope": "UNCHANGED",
                "userInteraction": "NONE",
                "vectorString": "CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N",
                "version": "3.1"
              },
              "exploitabilityScore": 3.9,
              "impactScore": 5.2,
              "source": "nvd@nist.gov",
              "type": "Primary"
            },
            {
              "cvssData": {
                "attackComplexity": "LOW",
                "attackVector": "NETWORK",
                "availabilityImpact": "NONE",
                "baseScore": 4.3,
                "baseSeverity": "MEDIUM",
                "confidentialityImpact": "NONE",
                "integrityImpact": "LOW",
                "privilegesRequired": "LOW",
                "scope": "UNCHANGED",
                "userInteraction": "NONE",
                "vectorString": "CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N",
                "version": "3.1"
              },
              "exploitabilityScore": 2.8,
              "impactScore": 1.4,
              "source": "psirt@us.ibm.com",
              "type": "Secondary"
            }
          ]
        },
        "published": "2023-12-20T02:15:43.970",
        "references": [
          {
            "source": "psirt@us.ibm.com",
            "tags": [
              "VDB Entry",
              "Vendor Advisory"
            ],
            "url": "https://exchange.xforce.ibmcloud.com/vulnerabilities/271196"
          },
          {
            "source": "psirt@us.ibm.com",
            "tags": [
              "Vendor Advisory"
            ],
            "url": "https://www.ibm.com/support/pages/node/7091157"
          }
        ],
        "sourceIdentifier": "psirt@us.ibm.com",
        "vulnStatus": "Analyzed",
        "weaknesses": [
          {
            "description": [
              {
                "lang": "en",
                "value": "CWE-22"
              }
            ],
            "source": "psirt@us.ibm.com",
            "type": "Primary"
          }
        ]
      }
    }
  }
}

Action not permitted

cve-2023-47702

Vulnerability from cvelistv5

wid-sec-w-2023-3186

Vulnerability from csaf_certbund

ghsa-gcrp-3x2h-3w2h

Vulnerability from github

gsd-2023-47702

Vulnerability from gsd

Tags