cvelistv5 - cve-2023-47703

▼	URL	Tags
	psirt@us.ibm.com	https://exchange.xforce.ibmcloud.com/vulnerabilities/271197	VDB Entry, Vendor Advisory
	psirt@us.ibm.com	https://www.ibm.com/support/pages/node/7091157	Vendor Advisory

▼	Vendor	Product
	IBM	Security Guardium Key Lifecycle Manager

ghsa-4h8q-hvrp-cmqh

Vulnerability from github

Published

2023-12-20 03:30

Modified

2023-12-20 03:30

Severity ?

5.3 (Medium) - CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N

Details

IBM Security Guardium Key Lifecycle Manager 4.3 could allow a remote attacker to obtain sensitive information when a detailed technical error message is returned in the browser. This information could be used in further attacks against the system. IBM X-Force ID: 271197.

Show details on source website

JSON

To clipboard

{
  "affected": [],
  "aliases": [
    "CVE-2023-47703"
  ],
  "database_specific": {
    "cwe_ids": [
      "CWE-209"
    ],
    "github_reviewed": false,
    "github_reviewed_at": null,
    "nvd_published_at": "2023-12-20T02:15:44Z",
    "severity": "MODERATE"
  },
  "details": "IBM Security Guardium Key Lifecycle Manager 4.3 could allow a remote attacker to obtain sensitive information when a detailed technical error message is returned in the browser.  This information could be used in further attacks against the system.  IBM X-Force ID:  271197.",
  "id": "GHSA-4h8q-hvrp-cmqh",
  "modified": "2023-12-20T03:30:23Z",
  "published": "2023-12-20T03:30:23Z",
  "references": [
    {
      "type": "ADVISORY",
      "url": "https://nvd.nist.gov/vuln/detail/CVE-2023-47703"
    },
    {
      "type": "WEB",
      "url": "https://exchange.xforce.ibmcloud.com/vulnerabilities/271197"
    },
    {
      "type": "WEB",
      "url": "https://www.ibm.com/support/pages/node/7091157"
    }
  ],
  "schema_version": "1.4.0",
  "severity": [
    {
      "score": "CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N",
      "type": "CVSS_V3"
    }
  ]
}

gsd-2023-47703

Vulnerability from gsd

Modified

2023-12-13 01:20

Details

IBM Security Guardium Key Lifecycle Manager 4.3 could allow a remote attacker to obtain sensitive information when a detailed technical error message is returned in the browser. This information could be used in further attacks against the system. IBM X-Force ID: 271197.

Aliases

CVE-2023-47703

Aliases

CVE-2023-47703

JSON

To clipboard

{
  "GSD": {
    "alias": "CVE-2023-47703",
    "id": "GSD-2023-47703"
  },
  "gsd": {
    "metadata": {
      "exploitCode": "unknown",
      "remediation": "unknown",
      "reportConfidence": "confirmed",
      "type": "vulnerability"
    },
    "osvSchema": {
      "aliases": [
        "CVE-2023-47703"
      ],
      "details": "IBM Security Guardium Key Lifecycle Manager 4.3 could allow a remote attacker to obtain sensitive information when a detailed technical error message is returned in the browser.  This information could be used in further attacks against the system.  IBM X-Force ID:  271197.",
      "id": "GSD-2023-47703",
      "modified": "2023-12-13T01:20:51.359153Z",
      "schema_version": "1.4.0"
    }
  },
  "namespaces": {
    "cve.org": {
      "CVE_data_meta": {
        "ASSIGNER": "psirt@us.ibm.com",
        "ID": "CVE-2023-47703",
        "STATE": "PUBLIC"
      },
      "affects": {
        "vendor": {
          "vendor_data": [
            {
              "product": {
                "product_data": [
                  {
                    "product_name": "Security Guardium Key Lifecycle Manager",
                    "version": {
                      "version_data": [
                        {
                          "version_affected": "=",
                          "version_value": "4.3"
                        }
                      ]
                    }
                  }
                ]
              },
              "vendor_name": "IBM"
            }
          ]
        }
      },
      "data_format": "MITRE",
      "data_type": "CVE",
      "data_version": "4.0",
      "description": {
        "description_data": [
          {
            "lang": "eng",
            "value": "IBM Security Guardium Key Lifecycle Manager 4.3 could allow a remote attacker to obtain sensitive information when a detailed technical error message is returned in the browser.  This information could be used in further attacks against the system.  IBM X-Force ID:  271197."
          }
        ]
      },
      "generator": {
        "engine": "Vulnogram 0.1.0-dev"
      },
      "impact": {
        "cvss": [
          {
            "attackComplexity": "LOW",
            "attackVector": "NETWORK",
            "availabilityImpact": "NONE",
            "baseScore": 5.3,
            "baseSeverity": "MEDIUM",
            "confidentialityImpact": "LOW",
            "integrityImpact": "NONE",
            "privilegesRequired": "NONE",
            "scope": "UNCHANGED",
            "userInteraction": "NONE",
            "vectorString": "CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N",
            "version": "3.1"
          }
        ]
      },
      "problemtype": {
        "problemtype_data": [
          {
            "description": [
              {
                "cweId": "CWE-209",
                "lang": "eng",
                "value": "CWE-209 Generation of Error Message Containing Sensitive Information"
              }
            ]
          }
        ]
      },
      "references": {
        "reference_data": [
          {
            "name": "https://www.ibm.com/support/pages/node/7091157",
            "refsource": "MISC",
            "url": "https://www.ibm.com/support/pages/node/7091157"
          },
          {
            "name": "https://exchange.xforce.ibmcloud.com/vulnerabilities/271197",
            "refsource": "MISC",
            "url": "https://exchange.xforce.ibmcloud.com/vulnerabilities/271197"
          }
        ]
      },
      "source": {
        "discovery": "UNKNOWN"
      }
    },
    "nvd.nist.gov": {
      "cve": {
        "configurations": [
          {
            "nodes": [
              {
                "cpeMatch": [
                  {
                    "criteria": "cpe:2.3:a:ibm:security_guardium_key_lifecycle_manager:*:*:*:*:*:*:*:*",
                    "matchCriteriaId": "66451AC9-420C-4002-9D00-47735D9ED072",
                    "versionEndExcluding": "4.2.0.2",
                    "versionStartIncluding": "4.2.0",
                    "vulnerable": true
                  }
                ],
                "negate": false,
                "operator": "OR"
              },
              {
                "cpeMatch": [
                  {
                    "criteria": "cpe:2.3:o:ibm:aix:-:*:*:*:*:*:*:*",
                    "matchCriteriaId": "E492C463-D76E-49B7-A4D4-3B499E422D89",
                    "vulnerable": false
                  },
                  {
                    "criteria": "cpe:2.3:o:linux:linux_kernel:-:*:*:*:*:*:*:*",
                    "matchCriteriaId": "703AF700-7A70-47E2-BC3A-7FD03B3CA9C1",
                    "vulnerable": false
                  },
                  {
                    "criteria": "cpe:2.3:o:microsoft:windows:-:*:*:*:*:*:*:*",
                    "matchCriteriaId": "A2572D17-1DE6-457B-99CC-64AFD54487EA",
                    "vulnerable": false
                  }
                ],
                "negate": false,
                "operator": "OR"
              }
            ],
            "operator": "AND"
          }
        ],
        "descriptions": [
          {
            "lang": "en",
            "value": "IBM Security Guardium Key Lifecycle Manager 4.3 could allow a remote attacker to obtain sensitive information when a detailed technical error message is returned in the browser.  This information could be used in further attacks against the system.  IBM X-Force ID:  271197."
          },
          {
            "lang": "es",
            "value": "IBM Security Guardium Key Lifecycle Manager 4.3 podr\u00eda permitir a un atacante remoto obtener informaci\u00f3n confidencial cuando se devuelve un mensaje de error t\u00e9cnico detallado en el navegador. Esta informaci\u00f3n podr\u00eda usarse en futuros ataques contra el sistema. ID de IBM X-Force: 271197."
          }
        ],
        "id": "CVE-2023-47703",
        "lastModified": "2023-12-22T10:02:23.280",
        "metrics": {
          "cvssMetricV31": [
            {
              "cvssData": {
                "attackComplexity": "LOW",
                "attackVector": "NETWORK",
                "availabilityImpact": "NONE",
                "baseScore": 5.3,
                "baseSeverity": "MEDIUM",
                "confidentialityImpact": "LOW",
                "integrityImpact": "NONE",
                "privilegesRequired": "NONE",
                "scope": "UNCHANGED",
                "userInteraction": "NONE",
                "vectorString": "CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N",
                "version": "3.1"
              },
              "exploitabilityScore": 3.9,
              "impactScore": 1.4,
              "source": "nvd@nist.gov",
              "type": "Primary"
            },
            {
              "cvssData": {
                "attackComplexity": "LOW",
                "attackVector": "NETWORK",
                "availabilityImpact": "NONE",
                "baseScore": 5.3,
                "baseSeverity": "MEDIUM",
                "confidentialityImpact": "LOW",
                "integrityImpact": "NONE",
                "privilegesRequired": "NONE",
                "scope": "UNCHANGED",
                "userInteraction": "NONE",
                "vectorString": "CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N",
                "version": "3.1"
              },
              "exploitabilityScore": 3.9,
              "impactScore": 1.4,
              "source": "psirt@us.ibm.com",
              "type": "Secondary"
            }
          ]
        },
        "published": "2023-12-20T02:15:44.167",
        "references": [
          {
            "source": "psirt@us.ibm.com",
            "tags": [
              "VDB Entry",
              "Vendor Advisory"
            ],
            "url": "https://exchange.xforce.ibmcloud.com/vulnerabilities/271197"
          },
          {
            "source": "psirt@us.ibm.com",
            "tags": [
              "Vendor Advisory"
            ],
            "url": "https://www.ibm.com/support/pages/node/7091157"
          }
        ],
        "sourceIdentifier": "psirt@us.ibm.com",
        "vulnStatus": "Analyzed",
        "weaknesses": [
          {
            "description": [
              {
                "lang": "en",
                "value": "CWE-209"
              }
            ],
            "source": "nvd@nist.gov",
            "type": "Primary"
          },
          {
            "description": [
              {
                "lang": "en",
                "value": "CWE-209"
              }
            ],
            "source": "psirt@us.ibm.com",
            "type": "Secondary"
          }
        ]
      }
    }
  }
}

wid-sec-w-2023-3186

Vulnerability from csaf_certbund

Published

2023-12-19 23:00

Modified

2023-12-19 23:00

Summary

IBM Security Guardium: Mehrere Schwachstellen

Notes

Das BSI ist als Anbieter für die eigenen, zur Nutzung bereitgestellten Inhalte nach den allgemeinen Gesetzen verantwortlich. Nutzerinnen und Nutzer sind jedoch dafür verantwortlich, die Verwendung und/oder die Umsetzung der mit den Inhalten bereitgestellten Informationen sorgfältig im Einzelfall zu prüfen.

Produktbeschreibung

IBM Security Guardium ist eine Lösung für die Überwachung und Auditierung des Datenzugriffs.

Angriff

Ein entfernter, authentisierter Angreifer kann mehrere Schwachstellen in IBM Security Guardium ausnutzen, um Sicherheitsvorkehrungen zu umgehen, Informationen offenzulegen, Daten zu manipulieren und einen Cross Site Scripting Angriff durchzuführen.

Betroffene Betriebssysteme

- UNIX - Linux - Windows

JSON

To clipboard

{
  "document": {
    "aggregate_severity": {
      "text": "mittel"
    },
    "category": "csaf_base",
    "csaf_version": "2.0",
    "distribution": {
      "tlp": {
        "label": "WHITE",
        "url": "https://www.first.org/tlp/"
      }
    },
    "lang": "de-DE",
    "notes": [
      {
        "category": "legal_disclaimer",
        "text": "Das BSI ist als Anbieter f\u00fcr die eigenen, zur Nutzung bereitgestellten Inhalte nach den allgemeinen Gesetzen verantwortlich. Nutzerinnen und Nutzer sind jedoch daf\u00fcr verantwortlich, die Verwendung und/oder die Umsetzung der mit den Inhalten bereitgestellten Informationen sorgf\u00e4ltig im Einzelfall zu pr\u00fcfen."
      },
      {
        "category": "description",
        "text": "IBM Security Guardium ist eine L\u00f6sung f\u00fcr die \u00dcberwachung und Auditierung des Datenzugriffs.",
        "title": "Produktbeschreibung"
      },
      {
        "category": "summary",
        "text": "Ein entfernter, authentisierter Angreifer kann mehrere Schwachstellen in IBM Security Guardium ausnutzen, um Sicherheitsvorkehrungen zu umgehen, Informationen offenzulegen, Daten zu manipulieren und einen Cross Site Scripting Angriff durchzuf\u00fchren.",
        "title": "Angriff"
      },
      {
        "category": "general",
        "text": "- UNIX\n- Linux\n- Windows",
        "title": "Betroffene Betriebssysteme"
      }
    ],
    "publisher": {
      "category": "other",
      "contact_details": "csaf-provider@cert-bund.de",
      "name": "Bundesamt f\u00fcr Sicherheit in der Informationstechnik",
      "namespace": "https://www.bsi.bund.de"
    },
    "references": [
      {
        "category": "self",
        "summary": "WID-SEC-W-2023-3186 - CSAF Version",
        "url": "https://wid.cert-bund.de/.well-known/csaf/white/2023/wid-sec-w-2023-3186.json"
      },
      {
        "category": "self",
        "summary": "WID-SEC-2023-3186 - Portal Version",
        "url": "https://wid.cert-bund.de/portal/wid/securityadvisory?name=WID-SEC-2023-3186"
      },
      {
        "category": "external",
        "summary": "IBM Security Bulletin vom 2023-12-19",
        "url": "https://www.ibm.com/support/pages/node/7091157"
      },
      {
        "category": "external",
        "summary": "GitHub Advisory Database vom 2023-12-19",
        "url": "https://github.com/advisories/GHSA-vxjj-qm22-4cqm"
      }
    ],
    "source_lang": "en-US",
    "title": "IBM Security Guardium: Mehrere Schwachstellen",
    "tracking": {
      "current_release_date": "2023-12-19T23:00:00.000+00:00",
      "generator": {
        "date": "2024-08-15T18:03:01.181+00:00",
        "engine": {
          "name": "BSI-WID",
          "version": "1.3.5"
        }
      },
      "id": "WID-SEC-W-2023-3186",
      "initial_release_date": "2023-12-19T23:00:00.000+00:00",
      "revision_history": [
        {
          "date": "2023-12-19T23:00:00.000+00:00",
          "number": "1",
          "summary": "Initiale Fassung"
        }
      ],
      "status": "final",
      "version": "1"
    }
  },
  "product_tree": {
    "branches": [
      {
        "branches": [
          {
            "category": "product_name",
            "name": "IBM Security Guardium Key Lifecycle Manager \u003c 4.2",
            "product": {
              "name": "IBM Security Guardium Key Lifecycle Manager \u003c 4.2",
              "product_id": "T027545",
              "product_identification_helper": {
                "cpe": "cpe:/a:ibm:security_guardium:key_lifecycle_manager_4.2"
              }
            }
          }
        ],
        "category": "vendor",
        "name": "IBM"
      }
    ]
  },
  "vulnerabilities": [
    {
      "cve": "CVE-2023-47707",
      "notes": [
        {
          "category": "description",
          "text": "In IBM Security Guardium existieren mehrere Schwachstellen. Diese bestehen aufgrund von hart kodierten Anmeldetaten, ungen\u00fcgende Eingabe\u00fcberpr\u00fcfungen, ungen\u00fcgender \u00dcberpr\u00fcfung von Uploads, Directory Traversal Problemen und unsachgem\u00e4\u00dfer Fehlermeldungen. Ein Angreifer kann diese Schwachstellen ausnutzen, um Sicherheitsvorkehrungen zu umgehen, Informationen offenzulegen, Daten zu manipulieren und einen Cross Site Scripting Angriff durchzuf\u00fchren. Zur Ausnutzung einiger dieser Schwachstellen ist eine Authentisierung oder Nutzeraktion n\u00f6tig."
        }
      ],
      "release_date": "2023-12-19T23:00:00.000+00:00",
      "title": "CVE-2023-47707"
    },
    {
      "cve": "CVE-2023-47706",
      "notes": [
        {
          "category": "description",
          "text": "In IBM Security Guardium existieren mehrere Schwachstellen. Diese bestehen aufgrund von hart kodierten Anmeldetaten, ungen\u00fcgende Eingabe\u00fcberpr\u00fcfungen, ungen\u00fcgender \u00dcberpr\u00fcfung von Uploads, Directory Traversal Problemen und unsachgem\u00e4\u00dfer Fehlermeldungen. Ein Angreifer kann diese Schwachstellen ausnutzen, um Sicherheitsvorkehrungen zu umgehen, Informationen offenzulegen, Daten zu manipulieren und einen Cross Site Scripting Angriff durchzuf\u00fchren. Zur Ausnutzung einiger dieser Schwachstellen ist eine Authentisierung oder Nutzeraktion n\u00f6tig."
        }
      ],
      "release_date": "2023-12-19T23:00:00.000+00:00",
      "title": "CVE-2023-47706"
    },
    {
      "cve": "CVE-2023-47705",
      "notes": [
        {
          "category": "description",
          "text": "In IBM Security Guardium existieren mehrere Schwachstellen. Diese bestehen aufgrund von hart kodierten Anmeldetaten, ungen\u00fcgende Eingabe\u00fcberpr\u00fcfungen, ungen\u00fcgender \u00dcberpr\u00fcfung von Uploads, Directory Traversal Problemen und unsachgem\u00e4\u00dfer Fehlermeldungen. Ein Angreifer kann diese Schwachstellen ausnutzen, um Sicherheitsvorkehrungen zu umgehen, Informationen offenzulegen, Daten zu manipulieren und einen Cross Site Scripting Angriff durchzuf\u00fchren. Zur Ausnutzung einiger dieser Schwachstellen ist eine Authentisierung oder Nutzeraktion n\u00f6tig."
        }
      ],
      "release_date": "2023-12-19T23:00:00.000+00:00",
      "title": "CVE-2023-47705"
    },
    {
      "cve": "CVE-2023-47704",
      "notes": [
        {
          "category": "description",
          "text": "In IBM Security Guardium existieren mehrere Schwachstellen. Diese bestehen aufgrund von hart kodierten Anmeldetaten, ungen\u00fcgende Eingabe\u00fcberpr\u00fcfungen, ungen\u00fcgender \u00dcberpr\u00fcfung von Uploads, Directory Traversal Problemen und unsachgem\u00e4\u00dfer Fehlermeldungen. Ein Angreifer kann diese Schwachstellen ausnutzen, um Sicherheitsvorkehrungen zu umgehen, Informationen offenzulegen, Daten zu manipulieren und einen Cross Site Scripting Angriff durchzuf\u00fchren. Zur Ausnutzung einiger dieser Schwachstellen ist eine Authentisierung oder Nutzeraktion n\u00f6tig."
        }
      ],
      "release_date": "2023-12-19T23:00:00.000+00:00",
      "title": "CVE-2023-47704"
    },
    {
      "cve": "CVE-2023-47703",
      "notes": [
        {
          "category": "description",
          "text": "In IBM Security Guardium existieren mehrere Schwachstellen. Diese bestehen aufgrund von hart kodierten Anmeldetaten, ungen\u00fcgende Eingabe\u00fcberpr\u00fcfungen, ungen\u00fcgender \u00dcberpr\u00fcfung von Uploads, Directory Traversal Problemen und unsachgem\u00e4\u00dfer Fehlermeldungen. Ein Angreifer kann diese Schwachstellen ausnutzen, um Sicherheitsvorkehrungen zu umgehen, Informationen offenzulegen, Daten zu manipulieren und einen Cross Site Scripting Angriff durchzuf\u00fchren. Zur Ausnutzung einiger dieser Schwachstellen ist eine Authentisierung oder Nutzeraktion n\u00f6tig."
        }
      ],
      "release_date": "2023-12-19T23:00:00.000+00:00",
      "title": "CVE-2023-47703"
    },
    {
      "cve": "CVE-2023-47702",
      "notes": [
        {
          "category": "description",
          "text": "In IBM Security Guardium existieren mehrere Schwachstellen. Diese bestehen aufgrund von hart kodierten Anmeldetaten, ungen\u00fcgende Eingabe\u00fcberpr\u00fcfungen, ungen\u00fcgender \u00dcberpr\u00fcfung von Uploads, Directory Traversal Problemen und unsachgem\u00e4\u00dfer Fehlermeldungen. Ein Angreifer kann diese Schwachstellen ausnutzen, um Sicherheitsvorkehrungen zu umgehen, Informationen offenzulegen, Daten zu manipulieren und einen Cross Site Scripting Angriff durchzuf\u00fchren. Zur Ausnutzung einiger dieser Schwachstellen ist eine Authentisierung oder Nutzeraktion n\u00f6tig."
        }
      ],
      "release_date": "2023-12-19T23:00:00.000+00:00",
      "title": "CVE-2023-47702"
    }
  ]
}

Action not permitted

cve-2023-47703

Vulnerability from cvelistv5

ghsa-4h8q-hvrp-cmqh

Vulnerability from github

gsd-2023-47703

Vulnerability from gsd

wid-sec-w-2023-3186

Vulnerability from csaf_certbund

Tags