cvelistv5 - cve-2023-47706

▼	URL	Tags
	psirt@us.ibm.com	https://exchange.xforce.ibmcloud.com/vulnerabilities/271341	VDB Entry, Vendor Advisory
	psirt@us.ibm.com	https://www.ibm.com/support/pages/node/7091157	Vendor Advisory

▼	Vendor	Product
	IBM	Security Guardium Key Lifecycle Manager

ghsa-qg4r-fj25-xf35

Vulnerability from github

Published

2023-12-20 03:30

Modified

2023-12-20 03:30

Severity ?

6.6 (Medium) - CVSS:3.1/AV:N/AC:H/PR:H/UI:N/S:U/C:H/I:H/A:H

Details

IBM Security Guardium Key Lifecycle Manager 4.3 could allow an authenticated user to upload files of a dangerous file type. IBM X-Force ID: 271341.

Show details on source website

JSON

To clipboard

{
  "affected": [],
  "aliases": [
    "CVE-2023-47706"
  ],
  "database_specific": {
    "cwe_ids": [
      "CWE-434"
    ],
    "github_reviewed": false,
    "github_reviewed_at": null,
    "nvd_published_at": "2023-12-20T01:15:07Z",
    "severity": "MODERATE"
  },
  "details": "IBM Security Guardium Key Lifecycle Manager 4.3 could allow an authenticated user to upload files of a dangerous file type.  IBM X-Force ID:  271341.",
  "id": "GHSA-qg4r-fj25-xf35",
  "modified": "2023-12-20T03:30:23Z",
  "published": "2023-12-20T03:30:23Z",
  "references": [
    {
      "type": "ADVISORY",
      "url": "https://nvd.nist.gov/vuln/detail/CVE-2023-47706"
    },
    {
      "type": "WEB",
      "url": "https://exchange.xforce.ibmcloud.com/vulnerabilities/271341"
    },
    {
      "type": "WEB",
      "url": "https://www.ibm.com/support/pages/node/7091157"
    }
  ],
  "schema_version": "1.4.0",
  "severity": [
    {
      "score": "CVSS:3.1/AV:N/AC:H/PR:H/UI:N/S:U/C:H/I:H/A:H",
      "type": "CVSS_V3"
    }
  ]
}

wid-sec-w-2023-3186

Vulnerability from csaf_certbund

Published

2023-12-19 23:00

Modified

2023-12-19 23:00

Summary

IBM Security Guardium: Mehrere Schwachstellen

Notes

Das BSI ist als Anbieter für die eigenen, zur Nutzung bereitgestellten Inhalte nach den allgemeinen Gesetzen verantwortlich. Nutzerinnen und Nutzer sind jedoch dafür verantwortlich, die Verwendung und/oder die Umsetzung der mit den Inhalten bereitgestellten Informationen sorgfältig im Einzelfall zu prüfen.

Produktbeschreibung

IBM Security Guardium ist eine Lösung für die Überwachung und Auditierung des Datenzugriffs.

Angriff

Ein entfernter, authentisierter Angreifer kann mehrere Schwachstellen in IBM Security Guardium ausnutzen, um Sicherheitsvorkehrungen zu umgehen, Informationen offenzulegen, Daten zu manipulieren und einen Cross Site Scripting Angriff durchzuführen.

Betroffene Betriebssysteme

- UNIX - Linux - Windows

JSON

To clipboard

{
  "document": {
    "aggregate_severity": {
      "text": "mittel"
    },
    "category": "csaf_base",
    "csaf_version": "2.0",
    "distribution": {
      "tlp": {
        "label": "WHITE",
        "url": "https://www.first.org/tlp/"
      }
    },
    "lang": "de-DE",
    "notes": [
      {
        "category": "legal_disclaimer",
        "text": "Das BSI ist als Anbieter f\u00fcr die eigenen, zur Nutzung bereitgestellten Inhalte nach den allgemeinen Gesetzen verantwortlich. Nutzerinnen und Nutzer sind jedoch daf\u00fcr verantwortlich, die Verwendung und/oder die Umsetzung der mit den Inhalten bereitgestellten Informationen sorgf\u00e4ltig im Einzelfall zu pr\u00fcfen."
      },
      {
        "category": "description",
        "text": "IBM Security Guardium ist eine L\u00f6sung f\u00fcr die \u00dcberwachung und Auditierung des Datenzugriffs.",
        "title": "Produktbeschreibung"
      },
      {
        "category": "summary",
        "text": "Ein entfernter, authentisierter Angreifer kann mehrere Schwachstellen in IBM Security Guardium ausnutzen, um Sicherheitsvorkehrungen zu umgehen, Informationen offenzulegen, Daten zu manipulieren und einen Cross Site Scripting Angriff durchzuf\u00fchren.",
        "title": "Angriff"
      },
      {
        "category": "general",
        "text": "- UNIX\n- Linux\n- Windows",
        "title": "Betroffene Betriebssysteme"
      }
    ],
    "publisher": {
      "category": "other",
      "contact_details": "csaf-provider@cert-bund.de",
      "name": "Bundesamt f\u00fcr Sicherheit in der Informationstechnik",
      "namespace": "https://www.bsi.bund.de"
    },
    "references": [
      {
        "category": "self",
        "summary": "WID-SEC-W-2023-3186 - CSAF Version",
        "url": "https://wid.cert-bund.de/.well-known/csaf/white/2023/wid-sec-w-2023-3186.json"
      },
      {
        "category": "self",
        "summary": "WID-SEC-2023-3186 - Portal Version",
        "url": "https://wid.cert-bund.de/portal/wid/securityadvisory?name=WID-SEC-2023-3186"
      },
      {
        "category": "external",
        "summary": "IBM Security Bulletin vom 2023-12-19",
        "url": "https://www.ibm.com/support/pages/node/7091157"
      },
      {
        "category": "external",
        "summary": "GitHub Advisory Database vom 2023-12-19",
        "url": "https://github.com/advisories/GHSA-vxjj-qm22-4cqm"
      }
    ],
    "source_lang": "en-US",
    "title": "IBM Security Guardium: Mehrere Schwachstellen",
    "tracking": {
      "current_release_date": "2023-12-19T23:00:00.000+00:00",
      "generator": {
        "date": "2024-08-15T18:03:01.181+00:00",
        "engine": {
          "name": "BSI-WID",
          "version": "1.3.5"
        }
      },
      "id": "WID-SEC-W-2023-3186",
      "initial_release_date": "2023-12-19T23:00:00.000+00:00",
      "revision_history": [
        {
          "date": "2023-12-19T23:00:00.000+00:00",
          "number": "1",
          "summary": "Initiale Fassung"
        }
      ],
      "status": "final",
      "version": "1"
    }
  },
  "product_tree": {
    "branches": [
      {
        "branches": [
          {
            "category": "product_name",
            "name": "IBM Security Guardium Key Lifecycle Manager \u003c 4.2",
            "product": {
              "name": "IBM Security Guardium Key Lifecycle Manager \u003c 4.2",
              "product_id": "T027545",
              "product_identification_helper": {
                "cpe": "cpe:/a:ibm:security_guardium:key_lifecycle_manager_4.2"
              }
            }
          }
        ],
        "category": "vendor",
        "name": "IBM"
      }
    ]
  },
  "vulnerabilities": [
    {
      "cve": "CVE-2023-47707",
      "notes": [
        {
          "category": "description",
          "text": "In IBM Security Guardium existieren mehrere Schwachstellen. Diese bestehen aufgrund von hart kodierten Anmeldetaten, ungen\u00fcgende Eingabe\u00fcberpr\u00fcfungen, ungen\u00fcgender \u00dcberpr\u00fcfung von Uploads, Directory Traversal Problemen und unsachgem\u00e4\u00dfer Fehlermeldungen. Ein Angreifer kann diese Schwachstellen ausnutzen, um Sicherheitsvorkehrungen zu umgehen, Informationen offenzulegen, Daten zu manipulieren und einen Cross Site Scripting Angriff durchzuf\u00fchren. Zur Ausnutzung einiger dieser Schwachstellen ist eine Authentisierung oder Nutzeraktion n\u00f6tig."
        }
      ],
      "release_date": "2023-12-19T23:00:00.000+00:00",
      "title": "CVE-2023-47707"
    },
    {
      "cve": "CVE-2023-47706",
      "notes": [
        {
          "category": "description",
          "text": "In IBM Security Guardium existieren mehrere Schwachstellen. Diese bestehen aufgrund von hart kodierten Anmeldetaten, ungen\u00fcgende Eingabe\u00fcberpr\u00fcfungen, ungen\u00fcgender \u00dcberpr\u00fcfung von Uploads, Directory Traversal Problemen und unsachgem\u00e4\u00dfer Fehlermeldungen. Ein Angreifer kann diese Schwachstellen ausnutzen, um Sicherheitsvorkehrungen zu umgehen, Informationen offenzulegen, Daten zu manipulieren und einen Cross Site Scripting Angriff durchzuf\u00fchren. Zur Ausnutzung einiger dieser Schwachstellen ist eine Authentisierung oder Nutzeraktion n\u00f6tig."
        }
      ],
      "release_date": "2023-12-19T23:00:00.000+00:00",
      "title": "CVE-2023-47706"
    },
    {
      "cve": "CVE-2023-47705",
      "notes": [
        {
          "category": "description",
          "text": "In IBM Security Guardium existieren mehrere Schwachstellen. Diese bestehen aufgrund von hart kodierten Anmeldetaten, ungen\u00fcgende Eingabe\u00fcberpr\u00fcfungen, ungen\u00fcgender \u00dcberpr\u00fcfung von Uploads, Directory Traversal Problemen und unsachgem\u00e4\u00dfer Fehlermeldungen. Ein Angreifer kann diese Schwachstellen ausnutzen, um Sicherheitsvorkehrungen zu umgehen, Informationen offenzulegen, Daten zu manipulieren und einen Cross Site Scripting Angriff durchzuf\u00fchren. Zur Ausnutzung einiger dieser Schwachstellen ist eine Authentisierung oder Nutzeraktion n\u00f6tig."
        }
      ],
      "release_date": "2023-12-19T23:00:00.000+00:00",
      "title": "CVE-2023-47705"
    },
    {
      "cve": "CVE-2023-47704",
      "notes": [
        {
          "category": "description",
          "text": "In IBM Security Guardium existieren mehrere Schwachstellen. Diese bestehen aufgrund von hart kodierten Anmeldetaten, ungen\u00fcgende Eingabe\u00fcberpr\u00fcfungen, ungen\u00fcgender \u00dcberpr\u00fcfung von Uploads, Directory Traversal Problemen und unsachgem\u00e4\u00dfer Fehlermeldungen. Ein Angreifer kann diese Schwachstellen ausnutzen, um Sicherheitsvorkehrungen zu umgehen, Informationen offenzulegen, Daten zu manipulieren und einen Cross Site Scripting Angriff durchzuf\u00fchren. Zur Ausnutzung einiger dieser Schwachstellen ist eine Authentisierung oder Nutzeraktion n\u00f6tig."
        }
      ],
      "release_date": "2023-12-19T23:00:00.000+00:00",
      "title": "CVE-2023-47704"
    },
    {
      "cve": "CVE-2023-47703",
      "notes": [
        {
          "category": "description",
          "text": "In IBM Security Guardium existieren mehrere Schwachstellen. Diese bestehen aufgrund von hart kodierten Anmeldetaten, ungen\u00fcgende Eingabe\u00fcberpr\u00fcfungen, ungen\u00fcgender \u00dcberpr\u00fcfung von Uploads, Directory Traversal Problemen und unsachgem\u00e4\u00dfer Fehlermeldungen. Ein Angreifer kann diese Schwachstellen ausnutzen, um Sicherheitsvorkehrungen zu umgehen, Informationen offenzulegen, Daten zu manipulieren und einen Cross Site Scripting Angriff durchzuf\u00fchren. Zur Ausnutzung einiger dieser Schwachstellen ist eine Authentisierung oder Nutzeraktion n\u00f6tig."
        }
      ],
      "release_date": "2023-12-19T23:00:00.000+00:00",
      "title": "CVE-2023-47703"
    },
    {
      "cve": "CVE-2023-47702",
      "notes": [
        {
          "category": "description",
          "text": "In IBM Security Guardium existieren mehrere Schwachstellen. Diese bestehen aufgrund von hart kodierten Anmeldetaten, ungen\u00fcgende Eingabe\u00fcberpr\u00fcfungen, ungen\u00fcgender \u00dcberpr\u00fcfung von Uploads, Directory Traversal Problemen und unsachgem\u00e4\u00dfer Fehlermeldungen. Ein Angreifer kann diese Schwachstellen ausnutzen, um Sicherheitsvorkehrungen zu umgehen, Informationen offenzulegen, Daten zu manipulieren und einen Cross Site Scripting Angriff durchzuf\u00fchren. Zur Ausnutzung einiger dieser Schwachstellen ist eine Authentisierung oder Nutzeraktion n\u00f6tig."
        }
      ],
      "release_date": "2023-12-19T23:00:00.000+00:00",
      "title": "CVE-2023-47702"
    }
  ]
}

gsd-2023-47706

Vulnerability from gsd

Modified

2023-12-13 01:20

Details

IBM Security Guardium Key Lifecycle Manager 4.3 could allow an authenticated user to upload files of a dangerous file type. IBM X-Force ID: 271341.

Aliases

CVE-2023-47706

Aliases

CVE-2023-47706

JSON

To clipboard

{
  "GSD": {
    "alias": "CVE-2023-47706",
    "id": "GSD-2023-47706"
  },
  "gsd": {
    "metadata": {
      "exploitCode": "unknown",
      "remediation": "unknown",
      "reportConfidence": "confirmed",
      "type": "vulnerability"
    },
    "osvSchema": {
      "aliases": [
        "CVE-2023-47706"
      ],
      "details": "IBM Security Guardium Key Lifecycle Manager 4.3 could allow an authenticated user to upload files of a dangerous file type.  IBM X-Force ID:  271341.",
      "id": "GSD-2023-47706",
      "modified": "2023-12-13T01:20:51.634303Z",
      "schema_version": "1.4.0"
    }
  },
  "namespaces": {
    "cve.org": {
      "CVE_data_meta": {
        "ASSIGNER": "psirt@us.ibm.com",
        "ID": "CVE-2023-47706",
        "STATE": "PUBLIC"
      },
      "affects": {
        "vendor": {
          "vendor_data": [
            {
              "product": {
                "product_data": [
                  {
                    "product_name": "Security Guardium Key Lifecycle Manager",
                    "version": {
                      "version_data": [
                        {
                          "version_affected": "=",
                          "version_value": "4.3"
                        }
                      ]
                    }
                  }
                ]
              },
              "vendor_name": "IBM"
            }
          ]
        }
      },
      "data_format": "MITRE",
      "data_type": "CVE",
      "data_version": "4.0",
      "description": {
        "description_data": [
          {
            "lang": "eng",
            "value": "IBM Security Guardium Key Lifecycle Manager 4.3 could allow an authenticated user to upload files of a dangerous file type.  IBM X-Force ID:  271341."
          }
        ]
      },
      "generator": {
        "engine": "Vulnogram 0.1.0-dev"
      },
      "impact": {
        "cvss": [
          {
            "attackComplexity": "HIGH",
            "attackVector": "NETWORK",
            "availabilityImpact": "HIGH",
            "baseScore": 6.6,
            "baseSeverity": "MEDIUM",
            "confidentialityImpact": "HIGH",
            "integrityImpact": "HIGH",
            "privilegesRequired": "HIGH",
            "scope": "UNCHANGED",
            "userInteraction": "NONE",
            "vectorString": "CVSS:3.1/AV:N/AC:H/PR:H/UI:N/S:U/C:H/I:H/A:H",
            "version": "3.1"
          }
        ]
      },
      "problemtype": {
        "problemtype_data": [
          {
            "description": [
              {
                "cweId": "CWE-434",
                "lang": "eng",
                "value": "CWE-434 Unrestricted Upload of File with Dangerous Type"
              }
            ]
          }
        ]
      },
      "references": {
        "reference_data": [
          {
            "name": "https://www.ibm.com/support/pages/node/7091157",
            "refsource": "MISC",
            "url": "https://www.ibm.com/support/pages/node/7091157"
          },
          {
            "name": "https://exchange.xforce.ibmcloud.com/vulnerabilities/271341",
            "refsource": "MISC",
            "url": "https://exchange.xforce.ibmcloud.com/vulnerabilities/271341"
          }
        ]
      },
      "source": {
        "discovery": "UNKNOWN"
      }
    },
    "nvd.nist.gov": {
      "cve": {
        "configurations": [
          {
            "nodes": [
              {
                "cpeMatch": [
                  {
                    "criteria": "cpe:2.3:a:ibm:security_guardium_key_lifecycle_manager:*:*:*:*:*:*:*:*",
                    "matchCriteriaId": "66451AC9-420C-4002-9D00-47735D9ED072",
                    "versionEndExcluding": "4.2.0.2",
                    "versionStartIncluding": "4.2.0",
                    "vulnerable": true
                  }
                ],
                "negate": false,
                "operator": "OR"
              },
              {
                "cpeMatch": [
                  {
                    "criteria": "cpe:2.3:o:ibm:aix:-:*:*:*:*:*:*:*",
                    "matchCriteriaId": "E492C463-D76E-49B7-A4D4-3B499E422D89",
                    "vulnerable": false
                  },
                  {
                    "criteria": "cpe:2.3:o:linux:linux_kernel:-:*:*:*:*:*:*:*",
                    "matchCriteriaId": "703AF700-7A70-47E2-BC3A-7FD03B3CA9C1",
                    "vulnerable": false
                  },
                  {
                    "criteria": "cpe:2.3:o:microsoft:windows:-:*:*:*:*:*:*:*",
                    "matchCriteriaId": "A2572D17-1DE6-457B-99CC-64AFD54487EA",
                    "vulnerable": false
                  }
                ],
                "negate": false,
                "operator": "OR"
              }
            ],
            "operator": "AND"
          }
        ],
        "descriptions": [
          {
            "lang": "en",
            "value": "IBM Security Guardium Key Lifecycle Manager 4.3 could allow an authenticated user to upload files of a dangerous file type.  IBM X-Force ID:  271341."
          },
          {
            "lang": "es",
            "value": "IBM Security Guardium Key Lifecycle Manager 4.3 podr\u00eda permitir que un usuario autenticado cargue archivos de un tipo de archivo peligroso. ID de IBM X-Force: 271341."
          }
        ],
        "id": "CVE-2023-47706",
        "lastModified": "2023-12-22T10:11:40.633",
        "metrics": {
          "cvssMetricV31": [
            {
              "cvssData": {
                "attackComplexity": "LOW",
                "attackVector": "NETWORK",
                "availabilityImpact": "HIGH",
                "baseScore": 8.8,
                "baseSeverity": "HIGH",
                "confidentialityImpact": "HIGH",
                "integrityImpact": "HIGH",
                "privilegesRequired": "LOW",
                "scope": "UNCHANGED",
                "userInteraction": "NONE",
                "vectorString": "CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H",
                "version": "3.1"
              },
              "exploitabilityScore": 2.8,
              "impactScore": 5.9,
              "source": "nvd@nist.gov",
              "type": "Primary"
            },
            {
              "cvssData": {
                "attackComplexity": "HIGH",
                "attackVector": "NETWORK",
                "availabilityImpact": "HIGH",
                "baseScore": 6.6,
                "baseSeverity": "MEDIUM",
                "confidentialityImpact": "HIGH",
                "integrityImpact": "HIGH",
                "privilegesRequired": "HIGH",
                "scope": "UNCHANGED",
                "userInteraction": "NONE",
                "vectorString": "CVSS:3.1/AV:N/AC:H/PR:H/UI:N/S:U/C:H/I:H/A:H",
                "version": "3.1"
              },
              "exploitabilityScore": 0.7,
              "impactScore": 5.9,
              "source": "psirt@us.ibm.com",
              "type": "Secondary"
            }
          ]
        },
        "published": "2023-12-20T01:15:07.597",
        "references": [
          {
            "source": "psirt@us.ibm.com",
            "tags": [
              "VDB Entry",
              "Vendor Advisory"
            ],
            "url": "https://exchange.xforce.ibmcloud.com/vulnerabilities/271341"
          },
          {
            "source": "psirt@us.ibm.com",
            "tags": [
              "Vendor Advisory"
            ],
            "url": "https://www.ibm.com/support/pages/node/7091157"
          }
        ],
        "sourceIdentifier": "psirt@us.ibm.com",
        "vulnStatus": "Analyzed",
        "weaknesses": [
          {
            "description": [
              {
                "lang": "en",
                "value": "CWE-434"
              }
            ],
            "source": "psirt@us.ibm.com",
            "type": "Primary"
          }
        ]
      }
    }
  }
}

Action not permitted

cve-2023-47706

Vulnerability from cvelistv5

ghsa-qg4r-fj25-xf35

Vulnerability from github

wid-sec-w-2023-3186

Vulnerability from csaf_certbund

gsd-2023-47706

Vulnerability from gsd

Tags