cvelistv5 - CVE-2023-32327

▼	URL	Tags
	psirt@us.ibm.com	https://exchange.xforce.ibmcloud.com/vulnerabilities/254783	VDB Entry, Vendor Advisory
	psirt@us.ibm.com	https://www.ibm.com/support/pages/node/7106586	Patch, Vendor Advisory

▼	Vendor	Product
	IBM	Security Verify Access Appliance
	IBM	Security Verify Access Docker

wid-sec-w-2024-0054

Vulnerability from csaf_certbund

Published

2024-01-09 23:00

Modified

2024-01-09 23:00

Summary

IBM Security Verify Access: Mehrere Schwachstellen

Notes

Das BSI ist als Anbieter für die eigenen, zur Nutzung bereitgestellten Inhalte nach den allgemeinen Gesetzen verantwortlich. Nutzerinnen und Nutzer sind jedoch dafür verantwortlich, die Verwendung und/oder die Umsetzung der mit den Inhalten bereitgestellten Informationen sorgfältig im Einzelfall zu prüfen.

Produktbeschreibung

IBM Security Verify Access, ehemals IBM Security Access Manager (ISAM), ist eine Zugriffsverwaltungslösung.

Angriff

Ein Angreifer kann mehrere Schwachstellen in IBM Security Verify Access ausnutzen, um beliebigen Code auszuführen, Sicherheitsmaßnahmen zu umgehen, einen Denial-of-Service-Zustand herbeizuführen, vertrauliche Informationen offenzulegen, seine Privilegien zu erweitern oder komplexe Angriffe wie Cache Poisoning, Cross-Site-Scripting oder Session-Hijacking durchzuführen.

Betroffene Betriebssysteme

- Sonstiges

JSON

To clipboard

{
  "document": {
    "aggregate_severity": {
      "text": "hoch"
    },
    "category": "csaf_base",
    "csaf_version": "2.0",
    "distribution": {
      "tlp": {
        "label": "WHITE",
        "url": "https://www.first.org/tlp/"
      }
    },
    "lang": "de-DE",
    "notes": [
      {
        "category": "legal_disclaimer",
        "text": "Das BSI ist als Anbieter f\u00fcr die eigenen, zur Nutzung bereitgestellten Inhalte nach den allgemeinen Gesetzen verantwortlich. Nutzerinnen und Nutzer sind jedoch daf\u00fcr verantwortlich, die Verwendung und/oder die Umsetzung der mit den Inhalten bereitgestellten Informationen sorgf\u00e4ltig im Einzelfall zu pr\u00fcfen."
      },
      {
        "category": "description",
        "text": "IBM Security Verify Access, ehemals IBM Security Access Manager (ISAM), ist eine Zugriffsverwaltungsl\u00f6sung.",
        "title": "Produktbeschreibung"
      },
      {
        "category": "summary",
        "text": "Ein Angreifer kann mehrere Schwachstellen in IBM Security Verify Access ausnutzen, um beliebigen Code auszuf\u00fchren, Sicherheitsma\u00dfnahmen zu umgehen, einen Denial-of-Service-Zustand herbeizuf\u00fchren, vertrauliche Informationen offenzulegen, seine Privilegien zu erweitern oder komplexe Angriffe wie Cache Poisoning, Cross-Site-Scripting oder Session-Hijacking durchzuf\u00fchren.",
        "title": "Angriff"
      },
      {
        "category": "general",
        "text": "- Sonstiges",
        "title": "Betroffene Betriebssysteme"
      }
    ],
    "publisher": {
      "category": "other",
      "contact_details": "csaf-provider@cert-bund.de",
      "name": "Bundesamt f\u00fcr Sicherheit in der Informationstechnik",
      "namespace": "https://www.bsi.bund.de"
    },
    "references": [
      {
        "category": "self",
        "summary": "WID-SEC-W-2024-0054 - CSAF Version",
        "url": "https://wid.cert-bund.de/.well-known/csaf/white/2024/wid-sec-w-2024-0054.json"
      },
      {
        "category": "self",
        "summary": "WID-SEC-2024-0054 - Portal Version",
        "url": "https://wid.cert-bund.de/portal/wid/securityadvisory?name=WID-SEC-2024-0054"
      },
      {
        "category": "external",
        "summary": "IBM Security Bulletin 7106586 vom 2024-01-09",
        "url": "https://www.ibm.com/support/pages/node/7106586"
      },
      {
        "category": "external",
        "summary": "IBM Security Bulletin 7106583 vom 2024-01-09",
        "url": "https://www.ibm.com/support/pages/node/7106583"
      }
    ],
    "source_lang": "en-US",
    "title": "IBM Security Verify Access: Mehrere Schwachstellen",
    "tracking": {
      "current_release_date": "2024-01-09T23:00:00.000+00:00",
      "generator": {
        "date": "2024-02-15T17:56:02.171+00:00",
        "engine": {
          "name": "BSI-WID",
          "version": "1.3.0"
        }
      },
      "id": "WID-SEC-W-2024-0054",
      "initial_release_date": "2024-01-09T23:00:00.000+00:00",
      "revision_history": [
        {
          "date": "2024-01-09T23:00:00.000+00:00",
          "number": "1",
          "summary": "Initiale Fassung"
        }
      ],
      "status": "final",
      "version": "1"
    }
  },
  "product_tree": {
    "branches": [
      {
        "branches": [
          {
            "category": "product_name",
            "name": "IBM Security Verify Access \u003c 10.0.7-ISS-ISVA-FP0000",
            "product": {
              "name": "IBM Security Verify Access \u003c 10.0.7-ISS-ISVA-FP0000",
              "product_id": "T031968",
              "product_identification_helper": {
                "cpe": "cpe:/a:ibm:security_verify_access:10.0.7-iss-isva-fp0000"
              }
            }
          }
        ],
        "category": "vendor",
        "name": "IBM"
      }
    ]
  },
  "vulnerabilities": [
    {
      "cve": "CVE-2032-43016",
      "notes": [
        {
          "category": "description",
          "text": "Es bestehen mehrere Schwachstellen in IBM Security Verify Access. Diese Fehler bestehen in mehreren Komponenten wie Access Manager Container und Drittanbieter-Modulen wie PostgreSQL oder HAProxy. Ein Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Code auszuf\u00fchren, Sicherheitsma\u00dfnahmen zu umgehen, einen Denial-of-Service-Zustand herbeizuf\u00fchren, vertrauliche Informationen offenzulegen, seine Privilegien zu erweitern oder komplexe Angriffe wie Cache-Poisoning, Cross-Site-Scripting oder Session-Hijacking durchzuf\u00fchren. Einige der Schwachstellen erfordern eine Interaktion des Benutzers, um sie erfolgreich auszunutzen."
        }
      ],
      "release_date": "2024-01-09T23:00:00Z",
      "title": "CVE-2032-43016"
    },
    {
      "cve": "CVE-2023-43017",
      "notes": [
        {
          "category": "description",
          "text": "Es bestehen mehrere Schwachstellen in IBM Security Verify Access. Diese Fehler bestehen in mehreren Komponenten wie Access Manager Container und Drittanbieter-Modulen wie PostgreSQL oder HAProxy. Ein Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Code auszuf\u00fchren, Sicherheitsma\u00dfnahmen zu umgehen, einen Denial-of-Service-Zustand herbeizuf\u00fchren, vertrauliche Informationen offenzulegen, seine Privilegien zu erweitern oder komplexe Angriffe wie Cache-Poisoning, Cross-Site-Scripting oder Session-Hijacking durchzuf\u00fchren. Einige der Schwachstellen erfordern eine Interaktion des Benutzers, um sie erfolgreich auszunutzen."
        }
      ],
      "release_date": "2024-01-09T23:00:00Z",
      "title": "CVE-2023-43017"
    },
    {
      "cve": "CVE-2023-40225",
      "notes": [
        {
          "category": "description",
          "text": "Es bestehen mehrere Schwachstellen in IBM Security Verify Access. Diese Fehler bestehen in mehreren Komponenten wie Access Manager Container und Drittanbieter-Modulen wie PostgreSQL oder HAProxy. Ein Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Code auszuf\u00fchren, Sicherheitsma\u00dfnahmen zu umgehen, einen Denial-of-Service-Zustand herbeizuf\u00fchren, vertrauliche Informationen offenzulegen, seine Privilegien zu erweitern oder komplexe Angriffe wie Cache-Poisoning, Cross-Site-Scripting oder Session-Hijacking durchzuf\u00fchren. Einige der Schwachstellen erfordern eine Interaktion des Benutzers, um sie erfolgreich auszunutzen."
        }
      ],
      "release_date": "2024-01-09T23:00:00Z",
      "title": "CVE-2023-40225"
    },
    {
      "cve": "CVE-2023-39417",
      "notes": [
        {
          "category": "description",
          "text": "Es bestehen mehrere Schwachstellen in IBM Security Verify Access. Diese Fehler bestehen in mehreren Komponenten wie Access Manager Container und Drittanbieter-Modulen wie PostgreSQL oder HAProxy. Ein Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Code auszuf\u00fchren, Sicherheitsma\u00dfnahmen zu umgehen, einen Denial-of-Service-Zustand herbeizuf\u00fchren, vertrauliche Informationen offenzulegen, seine Privilegien zu erweitern oder komplexe Angriffe wie Cache-Poisoning, Cross-Site-Scripting oder Session-Hijacking durchzuf\u00fchren. Einige der Schwachstellen erfordern eine Interaktion des Benutzers, um sie erfolgreich auszunutzen."
        }
      ],
      "release_date": "2024-01-09T23:00:00Z",
      "title": "CVE-2023-39417"
    },
    {
      "cve": "CVE-2023-38369",
      "notes": [
        {
          "category": "description",
          "text": "Es bestehen mehrere Schwachstellen in IBM Security Verify Access. Diese Fehler bestehen in mehreren Komponenten wie Access Manager Container und Drittanbieter-Modulen wie PostgreSQL oder HAProxy. Ein Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Code auszuf\u00fchren, Sicherheitsma\u00dfnahmen zu umgehen, einen Denial-of-Service-Zustand herbeizuf\u00fchren, vertrauliche Informationen offenzulegen, seine Privilegien zu erweitern oder komplexe Angriffe wie Cache-Poisoning, Cross-Site-Scripting oder Session-Hijacking durchzuf\u00fchren. Einige der Schwachstellen erfordern eine Interaktion des Benutzers, um sie erfolgreich auszunutzen."
        }
      ],
      "release_date": "2024-01-09T23:00:00Z",
      "title": "CVE-2023-38369"
    },
    {
      "cve": "CVE-2023-38267",
      "notes": [
        {
          "category": "description",
          "text": "Es bestehen mehrere Schwachstellen in IBM Security Verify Access. Diese Fehler bestehen in mehreren Komponenten wie Access Manager Container und Drittanbieter-Modulen wie PostgreSQL oder HAProxy. Ein Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Code auszuf\u00fchren, Sicherheitsma\u00dfnahmen zu umgehen, einen Denial-of-Service-Zustand herbeizuf\u00fchren, vertrauliche Informationen offenzulegen, seine Privilegien zu erweitern oder komplexe Angriffe wie Cache-Poisoning, Cross-Site-Scripting oder Session-Hijacking durchzuf\u00fchren. Einige der Schwachstellen erfordern eine Interaktion des Benutzers, um sie erfolgreich auszunutzen."
        }
      ],
      "release_date": "2024-01-09T23:00:00Z",
      "title": "CVE-2023-38267"
    },
    {
      "cve": "CVE-2023-32697",
      "notes": [
        {
          "category": "description",
          "text": "Es bestehen mehrere Schwachstellen in IBM Security Verify Access. Diese Fehler bestehen in mehreren Komponenten wie Access Manager Container und Drittanbieter-Modulen wie PostgreSQL oder HAProxy. Ein Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Code auszuf\u00fchren, Sicherheitsma\u00dfnahmen zu umgehen, einen Denial-of-Service-Zustand herbeizuf\u00fchren, vertrauliche Informationen offenzulegen, seine Privilegien zu erweitern oder komplexe Angriffe wie Cache-Poisoning, Cross-Site-Scripting oder Session-Hijacking durchzuf\u00fchren. Einige der Schwachstellen erfordern eine Interaktion des Benutzers, um sie erfolgreich auszunutzen."
        }
      ],
      "release_date": "2024-01-09T23:00:00Z",
      "title": "CVE-2023-32697"
    },
    {
      "cve": "CVE-2023-32330",
      "notes": [
        {
          "category": "description",
          "text": "Es bestehen mehrere Schwachstellen in IBM Security Verify Access. Diese Fehler bestehen in mehreren Komponenten wie Access Manager Container und Drittanbieter-Modulen wie PostgreSQL oder HAProxy. Ein Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Code auszuf\u00fchren, Sicherheitsma\u00dfnahmen zu umgehen, einen Denial-of-Service-Zustand herbeizuf\u00fchren, vertrauliche Informationen offenzulegen, seine Privilegien zu erweitern oder komplexe Angriffe wie Cache-Poisoning, Cross-Site-Scripting oder Session-Hijacking durchzuf\u00fchren. Einige der Schwachstellen erfordern eine Interaktion des Benutzers, um sie erfolgreich auszunutzen."
        }
      ],
      "release_date": "2024-01-09T23:00:00Z",
      "title": "CVE-2023-32330"
    },
    {
      "cve": "CVE-2023-32329",
      "notes": [
        {
          "category": "description",
          "text": "Es bestehen mehrere Schwachstellen in IBM Security Verify Access. Diese Fehler bestehen in mehreren Komponenten wie Access Manager Container und Drittanbieter-Modulen wie PostgreSQL oder HAProxy. Ein Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Code auszuf\u00fchren, Sicherheitsma\u00dfnahmen zu umgehen, einen Denial-of-Service-Zustand herbeizuf\u00fchren, vertrauliche Informationen offenzulegen, seine Privilegien zu erweitern oder komplexe Angriffe wie Cache-Poisoning, Cross-Site-Scripting oder Session-Hijacking durchzuf\u00fchren. Einige der Schwachstellen erfordern eine Interaktion des Benutzers, um sie erfolgreich auszunutzen."
        }
      ],
      "release_date": "2024-01-09T23:00:00Z",
      "title": "CVE-2023-32329"
    },
    {
      "cve": "CVE-2023-32328",
      "notes": [
        {
          "category": "description",
          "text": "Es bestehen mehrere Schwachstellen in IBM Security Verify Access. Diese Fehler bestehen in mehreren Komponenten wie Access Manager Container und Drittanbieter-Modulen wie PostgreSQL oder HAProxy. Ein Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Code auszuf\u00fchren, Sicherheitsma\u00dfnahmen zu umgehen, einen Denial-of-Service-Zustand herbeizuf\u00fchren, vertrauliche Informationen offenzulegen, seine Privilegien zu erweitern oder komplexe Angriffe wie Cache-Poisoning, Cross-Site-Scripting oder Session-Hijacking durchzuf\u00fchren. Einige der Schwachstellen erfordern eine Interaktion des Benutzers, um sie erfolgreich auszunutzen."
        }
      ],
      "release_date": "2024-01-09T23:00:00Z",
      "title": "CVE-2023-32328"
    },
    {
      "cve": "CVE-2023-32327",
      "notes": [
        {
          "category": "description",
          "text": "Es bestehen mehrere Schwachstellen in IBM Security Verify Access. Diese Fehler bestehen in mehreren Komponenten wie Access Manager Container und Drittanbieter-Modulen wie PostgreSQL oder HAProxy. Ein Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Code auszuf\u00fchren, Sicherheitsma\u00dfnahmen zu umgehen, einen Denial-of-Service-Zustand herbeizuf\u00fchren, vertrauliche Informationen offenzulegen, seine Privilegien zu erweitern oder komplexe Angriffe wie Cache-Poisoning, Cross-Site-Scripting oder Session-Hijacking durchzuf\u00fchren. Einige der Schwachstellen erfordern eine Interaktion des Benutzers, um sie erfolgreich auszunutzen."
        }
      ],
      "release_date": "2024-01-09T23:00:00Z",
      "title": "CVE-2023-32327"
    },
    {
      "cve": "CVE-2023-31006",
      "notes": [
        {
          "category": "description",
          "text": "Es bestehen mehrere Schwachstellen in IBM Security Verify Access. Diese Fehler bestehen in mehreren Komponenten wie Access Manager Container und Drittanbieter-Modulen wie PostgreSQL oder HAProxy. Ein Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Code auszuf\u00fchren, Sicherheitsma\u00dfnahmen zu umgehen, einen Denial-of-Service-Zustand herbeizuf\u00fchren, vertrauliche Informationen offenzulegen, seine Privilegien zu erweitern oder komplexe Angriffe wie Cache-Poisoning, Cross-Site-Scripting oder Session-Hijacking durchzuf\u00fchren. Einige der Schwachstellen erfordern eine Interaktion des Benutzers, um sie erfolgreich auszunutzen."
        }
      ],
      "release_date": "2024-01-09T23:00:00Z",
      "title": "CVE-2023-31006"
    },
    {
      "cve": "CVE-2023-31005",
      "notes": [
        {
          "category": "description",
          "text": "Es bestehen mehrere Schwachstellen in IBM Security Verify Access. Diese Fehler bestehen in mehreren Komponenten wie Access Manager Container und Drittanbieter-Modulen wie PostgreSQL oder HAProxy. Ein Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Code auszuf\u00fchren, Sicherheitsma\u00dfnahmen zu umgehen, einen Denial-of-Service-Zustand herbeizuf\u00fchren, vertrauliche Informationen offenzulegen, seine Privilegien zu erweitern oder komplexe Angriffe wie Cache-Poisoning, Cross-Site-Scripting oder Session-Hijacking durchzuf\u00fchren. Einige der Schwachstellen erfordern eine Interaktion des Benutzers, um sie erfolgreich auszunutzen."
        }
      ],
      "release_date": "2024-01-09T23:00:00Z",
      "title": "CVE-2023-31005"
    },
    {
      "cve": "CVE-2023-31004",
      "notes": [
        {
          "category": "description",
          "text": "Es bestehen mehrere Schwachstellen in IBM Security Verify Access. Diese Fehler bestehen in mehreren Komponenten wie Access Manager Container und Drittanbieter-Modulen wie PostgreSQL oder HAProxy. Ein Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Code auszuf\u00fchren, Sicherheitsma\u00dfnahmen zu umgehen, einen Denial-of-Service-Zustand herbeizuf\u00fchren, vertrauliche Informationen offenzulegen, seine Privilegien zu erweitern oder komplexe Angriffe wie Cache-Poisoning, Cross-Site-Scripting oder Session-Hijacking durchzuf\u00fchren. Einige der Schwachstellen erfordern eine Interaktion des Benutzers, um sie erfolgreich auszunutzen."
        }
      ],
      "release_date": "2024-01-09T23:00:00Z",
      "title": "CVE-2023-31004"
    },
    {
      "cve": "CVE-2023-31003",
      "notes": [
        {
          "category": "description",
          "text": "Es bestehen mehrere Schwachstellen in IBM Security Verify Access. Diese Fehler bestehen in mehreren Komponenten wie Access Manager Container und Drittanbieter-Modulen wie PostgreSQL oder HAProxy. Ein Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Code auszuf\u00fchren, Sicherheitsma\u00dfnahmen zu umgehen, einen Denial-of-Service-Zustand herbeizuf\u00fchren, vertrauliche Informationen offenzulegen, seine Privilegien zu erweitern oder komplexe Angriffe wie Cache-Poisoning, Cross-Site-Scripting oder Session-Hijacking durchzuf\u00fchren. Einige der Schwachstellen erfordern eine Interaktion des Benutzers, um sie erfolgreich auszunutzen."
        }
      ],
      "release_date": "2024-01-09T23:00:00Z",
      "title": "CVE-2023-31003"
    },
    {
      "cve": "CVE-2023-31002",
      "notes": [
        {
          "category": "description",
          "text": "Es bestehen mehrere Schwachstellen in IBM Security Verify Access. Diese Fehler bestehen in mehreren Komponenten wie Access Manager Container und Drittanbieter-Modulen wie PostgreSQL oder HAProxy. Ein Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Code auszuf\u00fchren, Sicherheitsma\u00dfnahmen zu umgehen, einen Denial-of-Service-Zustand herbeizuf\u00fchren, vertrauliche Informationen offenzulegen, seine Privilegien zu erweitern oder komplexe Angriffe wie Cache-Poisoning, Cross-Site-Scripting oder Session-Hijacking durchzuf\u00fchren. Einige der Schwachstellen erfordern eine Interaktion des Benutzers, um sie erfolgreich auszunutzen."
        }
      ],
      "release_date": "2024-01-09T23:00:00Z",
      "title": "CVE-2023-31002"
    },
    {
      "cve": "CVE-2023-31001",
      "notes": [
        {
          "category": "description",
          "text": "Es bestehen mehrere Schwachstellen in IBM Security Verify Access. Diese Fehler bestehen in mehreren Komponenten wie Access Manager Container und Drittanbieter-Modulen wie PostgreSQL oder HAProxy. Ein Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Code auszuf\u00fchren, Sicherheitsma\u00dfnahmen zu umgehen, einen Denial-of-Service-Zustand herbeizuf\u00fchren, vertrauliche Informationen offenzulegen, seine Privilegien zu erweitern oder komplexe Angriffe wie Cache-Poisoning, Cross-Site-Scripting oder Session-Hijacking durchzuf\u00fchren. Einige der Schwachstellen erfordern eine Interaktion des Benutzers, um sie erfolgreich auszunutzen."
        }
      ],
      "release_date": "2024-01-09T23:00:00Z",
      "title": "CVE-2023-31001"
    },
    {
      "cve": "CVE-2023-30999",
      "notes": [
        {
          "category": "description",
          "text": "Es bestehen mehrere Schwachstellen in IBM Security Verify Access. Diese Fehler bestehen in mehreren Komponenten wie Access Manager Container und Drittanbieter-Modulen wie PostgreSQL oder HAProxy. Ein Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Code auszuf\u00fchren, Sicherheitsma\u00dfnahmen zu umgehen, einen Denial-of-Service-Zustand herbeizuf\u00fchren, vertrauliche Informationen offenzulegen, seine Privilegien zu erweitern oder komplexe Angriffe wie Cache-Poisoning, Cross-Site-Scripting oder Session-Hijacking durchzuf\u00fchren. Einige der Schwachstellen erfordern eine Interaktion des Benutzers, um sie erfolgreich auszunutzen."
        }
      ],
      "release_date": "2024-01-09T23:00:00Z",
      "title": "CVE-2023-30999"
    },
    {
      "cve": "CVE-2023-25725",
      "notes": [
        {
          "category": "description",
          "text": "Es bestehen mehrere Schwachstellen in IBM Security Verify Access. Diese Fehler bestehen in mehreren Komponenten wie Access Manager Container und Drittanbieter-Modulen wie PostgreSQL oder HAProxy. Ein Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Code auszuf\u00fchren, Sicherheitsma\u00dfnahmen zu umgehen, einen Denial-of-Service-Zustand herbeizuf\u00fchren, vertrauliche Informationen offenzulegen, seine Privilegien zu erweitern oder komplexe Angriffe wie Cache-Poisoning, Cross-Site-Scripting oder Session-Hijacking durchzuf\u00fchren. Einige der Schwachstellen erfordern eine Interaktion des Benutzers, um sie erfolgreich auszunutzen."
        }
      ],
      "release_date": "2024-01-09T23:00:00Z",
      "title": "CVE-2023-25725"
    },
    {
      "cve": "CVE-2023-24998",
      "notes": [
        {
          "category": "description",
          "text": "Es bestehen mehrere Schwachstellen in IBM Security Verify Access. Diese Fehler bestehen in mehreren Komponenten wie Access Manager Container und Drittanbieter-Modulen wie PostgreSQL oder HAProxy. Ein Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Code auszuf\u00fchren, Sicherheitsma\u00dfnahmen zu umgehen, einen Denial-of-Service-Zustand herbeizuf\u00fchren, vertrauliche Informationen offenzulegen, seine Privilegien zu erweitern oder komplexe Angriffe wie Cache-Poisoning, Cross-Site-Scripting oder Session-Hijacking durchzuf\u00fchren. Einige der Schwachstellen erfordern eine Interaktion des Benutzers, um sie erfolgreich auszunutzen."
        }
      ],
      "release_date": "2024-01-09T23:00:00Z",
      "title": "CVE-2023-24998"
    },
    {
      "cve": "CVE-2023-2455",
      "notes": [
        {
          "category": "description",
          "text": "Es bestehen mehrere Schwachstellen in IBM Security Verify Access. Diese Fehler bestehen in mehreren Komponenten wie Access Manager Container und Drittanbieter-Modulen wie PostgreSQL oder HAProxy. Ein Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Code auszuf\u00fchren, Sicherheitsma\u00dfnahmen zu umgehen, einen Denial-of-Service-Zustand herbeizuf\u00fchren, vertrauliche Informationen offenzulegen, seine Privilegien zu erweitern oder komplexe Angriffe wie Cache-Poisoning, Cross-Site-Scripting oder Session-Hijacking durchzuf\u00fchren. Einige der Schwachstellen erfordern eine Interaktion des Benutzers, um sie erfolgreich auszunutzen."
        }
      ],
      "release_date": "2024-01-09T23:00:00Z",
      "title": "CVE-2023-2455"
    },
    {
      "cve": "CVE-2023-2454",
      "notes": [
        {
          "category": "description",
          "text": "Es bestehen mehrere Schwachstellen in IBM Security Verify Access. Diese Fehler bestehen in mehreren Komponenten wie Access Manager Container und Drittanbieter-Modulen wie PostgreSQL oder HAProxy. Ein Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Code auszuf\u00fchren, Sicherheitsma\u00dfnahmen zu umgehen, einen Denial-of-Service-Zustand herbeizuf\u00fchren, vertrauliche Informationen offenzulegen, seine Privilegien zu erweitern oder komplexe Angriffe wie Cache-Poisoning, Cross-Site-Scripting oder Session-Hijacking durchzuf\u00fchren. Einige der Schwachstellen erfordern eine Interaktion des Benutzers, um sie erfolgreich auszunutzen."
        }
      ],
      "release_date": "2024-01-09T23:00:00Z",
      "title": "CVE-2023-2454"
    },
    {
      "cve": "CVE-2023-1370",
      "notes": [
        {
          "category": "description",
          "text": "Es bestehen mehrere Schwachstellen in IBM Security Verify Access. Diese Fehler bestehen in mehreren Komponenten wie Access Manager Container und Drittanbieter-Modulen wie PostgreSQL oder HAProxy. Ein Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Code auszuf\u00fchren, Sicherheitsma\u00dfnahmen zu umgehen, einen Denial-of-Service-Zustand herbeizuf\u00fchren, vertrauliche Informationen offenzulegen, seine Privilegien zu erweitern oder komplexe Angriffe wie Cache-Poisoning, Cross-Site-Scripting oder Session-Hijacking durchzuf\u00fchren. Einige der Schwachstellen erfordern eine Interaktion des Benutzers, um sie erfolgreich auszunutzen."
        }
      ],
      "release_date": "2024-01-09T23:00:00Z",
      "title": "CVE-2023-1370"
    },
    {
      "cve": "CVE-2022-45688",
      "notes": [
        {
          "category": "description",
          "text": "Es bestehen mehrere Schwachstellen in IBM Security Verify Access. Diese Fehler bestehen in mehreren Komponenten wie Access Manager Container und Drittanbieter-Modulen wie PostgreSQL oder HAProxy. Ein Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Code auszuf\u00fchren, Sicherheitsma\u00dfnahmen zu umgehen, einen Denial-of-Service-Zustand herbeizuf\u00fchren, vertrauliche Informationen offenzulegen, seine Privilegien zu erweitern oder komplexe Angriffe wie Cache-Poisoning, Cross-Site-Scripting oder Session-Hijacking durchzuf\u00fchren. Einige der Schwachstellen erfordern eine Interaktion des Benutzers, um sie erfolgreich auszunutzen."
        }
      ],
      "release_date": "2024-01-09T23:00:00Z",
      "title": "CVE-2022-45688"
    },
    {
      "cve": "CVE-2022-41862",
      "notes": [
        {
          "category": "description",
          "text": "Es bestehen mehrere Schwachstellen in IBM Security Verify Access. Diese Fehler bestehen in mehreren Komponenten wie Access Manager Container und Drittanbieter-Modulen wie PostgreSQL oder HAProxy. Ein Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Code auszuf\u00fchren, Sicherheitsma\u00dfnahmen zu umgehen, einen Denial-of-Service-Zustand herbeizuf\u00fchren, vertrauliche Informationen offenzulegen, seine Privilegien zu erweitern oder komplexe Angriffe wie Cache-Poisoning, Cross-Site-Scripting oder Session-Hijacking durchzuf\u00fchren. Einige der Schwachstellen erfordern eine Interaktion des Benutzers, um sie erfolgreich auszunutzen."
        }
      ],
      "release_date": "2024-01-09T23:00:00Z",
      "title": "CVE-2022-41862"
    },
    {
      "cve": "CVE-2022-2625",
      "notes": [
        {
          "category": "description",
          "text": "Es bestehen mehrere Schwachstellen in IBM Security Verify Access. Diese Fehler bestehen in mehreren Komponenten wie Access Manager Container und Drittanbieter-Modulen wie PostgreSQL oder HAProxy. Ein Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Code auszuf\u00fchren, Sicherheitsma\u00dfnahmen zu umgehen, einen Denial-of-Service-Zustand herbeizuf\u00fchren, vertrauliche Informationen offenzulegen, seine Privilegien zu erweitern oder komplexe Angriffe wie Cache-Poisoning, Cross-Site-Scripting oder Session-Hijacking durchzuf\u00fchren. Einige der Schwachstellen erfordern eine Interaktion des Benutzers, um sie erfolgreich auszunutzen."
        }
      ],
      "release_date": "2024-01-09T23:00:00Z",
      "title": "CVE-2022-2625"
    },
    {
      "cve": "CVE-2022-2068",
      "notes": [
        {
          "category": "description",
          "text": "Es bestehen mehrere Schwachstellen in IBM Security Verify Access. Diese Fehler bestehen in mehreren Komponenten wie Access Manager Container und Drittanbieter-Modulen wie PostgreSQL oder HAProxy. Ein Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Code auszuf\u00fchren, Sicherheitsma\u00dfnahmen zu umgehen, einen Denial-of-Service-Zustand herbeizuf\u00fchren, vertrauliche Informationen offenzulegen, seine Privilegien zu erweitern oder komplexe Angriffe wie Cache-Poisoning, Cross-Site-Scripting oder Session-Hijacking durchzuf\u00fchren. Einige der Schwachstellen erfordern eine Interaktion des Benutzers, um sie erfolgreich auszunutzen."
        }
      ],
      "release_date": "2024-01-09T23:00:00Z",
      "title": "CVE-2022-2068"
    },
    {
      "cve": "CVE-2022-1471",
      "notes": [
        {
          "category": "description",
          "text": "Es bestehen mehrere Schwachstellen in IBM Security Verify Access. Diese Fehler bestehen in mehreren Komponenten wie Access Manager Container und Drittanbieter-Modulen wie PostgreSQL oder HAProxy. Ein Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Code auszuf\u00fchren, Sicherheitsma\u00dfnahmen zu umgehen, einen Denial-of-Service-Zustand herbeizuf\u00fchren, vertrauliche Informationen offenzulegen, seine Privilegien zu erweitern oder komplexe Angriffe wie Cache-Poisoning, Cross-Site-Scripting oder Session-Hijacking durchzuf\u00fchren. Einige der Schwachstellen erfordern eine Interaktion des Benutzers, um sie erfolgreich auszunutzen."
        }
      ],
      "release_date": "2024-01-09T23:00:00Z",
      "title": "CVE-2022-1471"
    },
    {
      "cve": "CVE-2020-11100",
      "notes": [
        {
          "category": "description",
          "text": "Es bestehen mehrere Schwachstellen in IBM Security Verify Access. Diese Fehler bestehen in mehreren Komponenten wie Access Manager Container und Drittanbieter-Modulen wie PostgreSQL oder HAProxy. Ein Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Code auszuf\u00fchren, Sicherheitsma\u00dfnahmen zu umgehen, einen Denial-of-Service-Zustand herbeizuf\u00fchren, vertrauliche Informationen offenzulegen, seine Privilegien zu erweitern oder komplexe Angriffe wie Cache-Poisoning, Cross-Site-Scripting oder Session-Hijacking durchzuf\u00fchren. Einige der Schwachstellen erfordern eine Interaktion des Benutzers, um sie erfolgreich auszunutzen."
        }
      ],
      "release_date": "2024-01-09T23:00:00Z",
      "title": "CVE-2020-11100"
    },
    {
      "cve": "CVE-2019-19330",
      "notes": [
        {
          "category": "description",
          "text": "Es bestehen mehrere Schwachstellen in IBM Security Verify Access. Diese Fehler bestehen in mehreren Komponenten wie Access Manager Container und Drittanbieter-Modulen wie PostgreSQL oder HAProxy. Ein Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Code auszuf\u00fchren, Sicherheitsma\u00dfnahmen zu umgehen, einen Denial-of-Service-Zustand herbeizuf\u00fchren, vertrauliche Informationen offenzulegen, seine Privilegien zu erweitern oder komplexe Angriffe wie Cache-Poisoning, Cross-Site-Scripting oder Session-Hijacking durchzuf\u00fchren. Einige der Schwachstellen erfordern eine Interaktion des Benutzers, um sie erfolgreich auszunutzen."
        }
      ],
      "release_date": "2024-01-09T23:00:00Z",
      "title": "CVE-2019-19330"
    },
    {
      "cve": "CVE-2019-18277",
      "notes": [
        {
          "category": "description",
          "text": "Es bestehen mehrere Schwachstellen in IBM Security Verify Access. Diese Fehler bestehen in mehreren Komponenten wie Access Manager Container und Drittanbieter-Modulen wie PostgreSQL oder HAProxy. Ein Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Code auszuf\u00fchren, Sicherheitsma\u00dfnahmen zu umgehen, einen Denial-of-Service-Zustand herbeizuf\u00fchren, vertrauliche Informationen offenzulegen, seine Privilegien zu erweitern oder komplexe Angriffe wie Cache-Poisoning, Cross-Site-Scripting oder Session-Hijacking durchzuf\u00fchren. Einige der Schwachstellen erfordern eine Interaktion des Benutzers, um sie erfolgreich auszunutzen."
        }
      ],
      "release_date": "2024-01-09T23:00:00Z",
      "title": "CVE-2019-18277"
    },
    {
      "cve": "CVE-2019-18276",
      "notes": [
        {
          "category": "description",
          "text": "Es bestehen mehrere Schwachstellen in IBM Security Verify Access. Diese Fehler bestehen in mehreren Komponenten wie Access Manager Container und Drittanbieter-Modulen wie PostgreSQL oder HAProxy. Ein Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Code auszuf\u00fchren, Sicherheitsma\u00dfnahmen zu umgehen, einen Denial-of-Service-Zustand herbeizuf\u00fchren, vertrauliche Informationen offenzulegen, seine Privilegien zu erweitern oder komplexe Angriffe wie Cache-Poisoning, Cross-Site-Scripting oder Session-Hijacking durchzuf\u00fchren. Einige der Schwachstellen erfordern eine Interaktion des Benutzers, um sie erfolgreich auszunutzen."
        }
      ],
      "release_date": "2024-01-09T23:00:00Z",
      "title": "CVE-2019-18276"
    },
    {
      "cve": "CVE-2019-14241",
      "notes": [
        {
          "category": "description",
          "text": "Es bestehen mehrere Schwachstellen in IBM Security Verify Access. Diese Fehler bestehen in mehreren Komponenten wie Access Manager Container und Drittanbieter-Modulen wie PostgreSQL oder HAProxy. Ein Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Code auszuf\u00fchren, Sicherheitsma\u00dfnahmen zu umgehen, einen Denial-of-Service-Zustand herbeizuf\u00fchren, vertrauliche Informationen offenzulegen, seine Privilegien zu erweitern oder komplexe Angriffe wie Cache-Poisoning, Cross-Site-Scripting oder Session-Hijacking durchzuf\u00fchren. Einige der Schwachstellen erfordern eine Interaktion des Benutzers, um sie erfolgreich auszunutzen."
        }
      ],
      "release_date": "2024-01-09T23:00:00Z",
      "title": "CVE-2019-14241"
    },
    {
      "cve": "CVE-2017-18342",
      "notes": [
        {
          "category": "description",
          "text": "Es bestehen mehrere Schwachstellen in IBM Security Verify Access. Diese Fehler bestehen in mehreren Komponenten wie Access Manager Container und Drittanbieter-Modulen wie PostgreSQL oder HAProxy. Ein Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Code auszuf\u00fchren, Sicherheitsma\u00dfnahmen zu umgehen, einen Denial-of-Service-Zustand herbeizuf\u00fchren, vertrauliche Informationen offenzulegen, seine Privilegien zu erweitern oder komplexe Angriffe wie Cache-Poisoning, Cross-Site-Scripting oder Session-Hijacking durchzuf\u00fchren. Einige der Schwachstellen erfordern eine Interaktion des Benutzers, um sie erfolgreich auszunutzen."
        }
      ],
      "release_date": "2024-01-09T23:00:00Z",
      "title": "CVE-2017-18342"
    },
    {
      "cve": "CVE-2015-5237",
      "notes": [
        {
          "category": "description",
          "text": "Es bestehen mehrere Schwachstellen in IBM Security Verify Access. Diese Fehler bestehen in mehreren Komponenten wie Access Manager Container und Drittanbieter-Modulen wie PostgreSQL oder HAProxy. Ein Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Code auszuf\u00fchren, Sicherheitsma\u00dfnahmen zu umgehen, einen Denial-of-Service-Zustand herbeizuf\u00fchren, vertrauliche Informationen offenzulegen, seine Privilegien zu erweitern oder komplexe Angriffe wie Cache-Poisoning, Cross-Site-Scripting oder Session-Hijacking durchzuf\u00fchren. Einige der Schwachstellen erfordern eine Interaktion des Benutzers, um sie erfolgreich auszunutzen."
        }
      ],
      "release_date": "2024-01-09T23:00:00Z",
      "title": "CVE-2015-5237"
    }
  ]
}

ghsa-gg63-hgm5-v538

Vulnerability from github

Published

2024-02-03 03:30

Modified

2024-02-03 03:30

Severity ?

7.1 (High) - CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:L

Details

IBM Security Access Manager Container (IBM Security Verify Access Appliance 10.0.0.0 through 10.0.6.1 and IBM Security Verify Access Docker 10.0.0.0 through 10.0.6.1) is vulnerable to an XML External Entity Injection (XXE) attack when processing XML data. A remote attacker could exploit this vulnerability to expose sensitive information or consume memory resources. IBM X-Force ID: 254783.

Show details on source website

JSON

To clipboard

{
  "affected": [],
  "aliases": [
    "CVE-2023-32327"
  ],
  "database_specific": {
    "cwe_ids": [
      "CWE-611"
    ],
    "github_reviewed": false,
    "github_reviewed_at": null,
    "nvd_published_at": "2024-02-03T01:15:08Z",
    "severity": "HIGH"
  },
  "details": "IBM Security Access Manager Container (IBM Security Verify Access Appliance 10.0.0.0 through 10.0.6.1 and IBM Security Verify Access Docker 10.0.0.0 through 10.0.6.1) is vulnerable to an XML External Entity Injection (XXE) attack when processing XML data. A remote attacker could exploit this vulnerability to expose sensitive information or consume memory resources.  IBM X-Force ID:  254783.",
  "id": "GHSA-gg63-hgm5-v538",
  "modified": "2024-02-03T03:30:27Z",
  "published": "2024-02-03T03:30:27Z",
  "references": [
    {
      "type": "ADVISORY",
      "url": "https://nvd.nist.gov/vuln/detail/CVE-2023-32327"
    },
    {
      "type": "WEB",
      "url": "https://exchange.xforce.ibmcloud.com/vulnerabilities/254783"
    },
    {
      "type": "WEB",
      "url": "https://www.ibm.com/support/pages/node/7106586"
    }
  ],
  "schema_version": "1.4.0",
  "severity": [
    {
      "score": "CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:L",
      "type": "CVSS_V3"
    }
  ]
}

var-202402-0187

Vulnerability from variot

IBM Security Access Manager Container (IBM Security Verify Access Appliance 10.0.0.0 through 10.0.6.1 and IBM Security Verify Access Docker 10.0.0.0 through 10.0.6.1) is vulnerable to an XML External Entity Injection (XXE) attack when processing XML data. A remote attacker could exploit this vulnerability to expose sensitive information or consume memory resources. IBM X-Force ID: 254783

Show details on source website

JSON

To clipboard

{
  "@context": {
    "@vocab": "https://www.variotdbs.pl/ref/VARIoTentry#",
    "affected_products": {
      "@id": "https://www.variotdbs.pl/ref/affected_products"
    },
    "configurations": {
      "@id": "https://www.variotdbs.pl/ref/configurations"
    },
    "credits": {
      "@id": "https://www.variotdbs.pl/ref/credits"
    },
    "cvss": {
      "@id": "https://www.variotdbs.pl/ref/cvss/"
    },
    "description": {
      "@id": "https://www.variotdbs.pl/ref/description/"
    },
    "exploit_availability": {
      "@id": "https://www.variotdbs.pl/ref/exploit_availability/"
    },
    "external_ids": {
      "@id": "https://www.variotdbs.pl/ref/external_ids/"
    },
    "iot": {
      "@id": "https://www.variotdbs.pl/ref/iot/"
    },
    "iot_taxonomy": {
      "@id": "https://www.variotdbs.pl/ref/iot_taxonomy/"
    },
    "patch": {
      "@id": "https://www.variotdbs.pl/ref/patch/"
    },
    "problemtype_data": {
      "@id": "https://www.variotdbs.pl/ref/problemtype_data/"
    },
    "references": {
      "@id": "https://www.variotdbs.pl/ref/references/"
    },
    "sources": {
      "@id": "https://www.variotdbs.pl/ref/sources/"
    },
    "sources_release_date": {
      "@id": "https://www.variotdbs.pl/ref/sources_release_date/"
    },
    "sources_update_date": {
      "@id": "https://www.variotdbs.pl/ref/sources_update_date/"
    },
    "threat_type": {
      "@id": "https://www.variotdbs.pl/ref/threat_type/"
    },
    "title": {
      "@id": "https://www.variotdbs.pl/ref/title/"
    },
    "type": {
      "@id": "https://www.variotdbs.pl/ref/type/"
    }
  },
  "@id": "https://www.variotdbs.pl/vuln/VAR-202402-0187",
  "affected_products": {
    "@context": {
      "@vocab": "https://www.variotdbs.pl/ref/affected_products#",
      "data": {
        "@container": "@list"
      },
      "sources": {
        "@container": "@list",
        "@context": {
          "@vocab": "https://www.variotdbs.pl/ref/sources#"
        },
        "@id": "https://www.variotdbs.pl/ref/sources"
      }
    },
    "data": [
      {
        "model": "security verify access docker",
        "scope": "gte",
        "trust": 1.0,
        "vendor": "ibm",
        "version": "10.0.0.0"
      },
      {
        "model": "security verify access",
        "scope": "gte",
        "trust": 1.0,
        "vendor": "ibm",
        "version": "10.0.0.0"
      },
      {
        "model": "security verify access docker",
        "scope": "lte",
        "trust": 1.0,
        "vendor": "ibm",
        "version": "10.0.6.1"
      },
      {
        "model": "security verify access",
        "scope": "lte",
        "trust": 1.0,
        "vendor": "ibm",
        "version": "10.0.6.1"
      },
      {
        "model": "security verify access docker",
        "scope": "eq",
        "trust": 0.8,
        "vendor": "ibm",
        "version": "10.0.0.0  to  10.0.6.1"
      },
      {
        "model": "security verify access",
        "scope": "eq",
        "trust": 0.8,
        "vendor": "ibm",
        "version": "10.0.0.0  to  10.0.6.1"
      },
      {
        "model": "security verify access",
        "scope": "eq",
        "trust": 0.8,
        "vendor": "ibm",
        "version": "docker 10.0.0.0  to  10.0.6.1"
      }
    ],
    "sources": [
      {
        "db": "JVNDB",
        "id": "JVNDB-2024-002252"
      },
      {
        "db": "NVD",
        "id": "CVE-2023-32327"
      }
    ]
  },
  "cve": "CVE-2023-32327",
  "cvss": {
    "@context": {
      "cvssV2": {
        "@container": "@list",
        "@context": {
          "@vocab": "https://www.variotdbs.pl/ref/cvss/cvssV2#"
        },
        "@id": "https://www.variotdbs.pl/ref/cvss/cvssV2"
      },
      "cvssV3": {
        "@container": "@list",
        "@context": {
          "@vocab": "https://www.variotdbs.pl/ref/cvss/cvssV3#"
        },
        "@id": "https://www.variotdbs.pl/ref/cvss/cvssV3/"
      },
      "severity": {
        "@container": "@list",
        "@context": {
          "@vocab": "https://www.variotdbs.pl/cvss/severity#"
        },
        "@id": "https://www.variotdbs.pl/ref/cvss/severity"
      },
      "sources": {
        "@container": "@list",
        "@context": {
          "@vocab": "https://www.variotdbs.pl/ref/sources#"
        },
        "@id": "https://www.variotdbs.pl/ref/sources"
      }
    },
    "data": [
      {
        "cvssV2": [],
        "cvssV3": [
          {
            "attackComplexity": "LOW",
            "attackVector": "NETWORK",
            "author": "NVD",
            "availabilityImpact": "LOW",
            "baseScore": 7.1,
            "baseSeverity": "HIGH",
            "confidentialityImpact": "HIGH",
            "exploitabilityScore": 2.8,
            "impactScore": 4.2,
            "integrityImpact": "NONE",
            "privilegesRequired": "LOW",
            "scope": "UNCHANGED",
            "trust": 2.0,
            "userInteraction": "NONE",
            "vectorString": "CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:L",
            "version": "3.1"
          },
          {
            "attackComplexity": "Low",
            "attackVector": "Network",
            "author": "NVD",
            "availabilityImpact": "Low",
            "baseScore": 7.1,
            "baseSeverity": "High",
            "confidentialityImpact": "High",
            "exploitabilityScore": null,
            "id": "CVE-2023-32327",
            "impactScore": null,
            "integrityImpact": "None",
            "privilegesRequired": "Low",
            "scope": "Unchanged",
            "trust": 0.8,
            "userInteraction": "None",
            "vectorString": "CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:L",
            "version": "3.0"
          }
        ],
        "severity": [
          {
            "author": "NVD",
            "id": "CVE-2023-32327",
            "trust": 1.8,
            "value": "HIGH"
          },
          {
            "author": "psirt@us.ibm.com",
            "id": "CVE-2023-32327",
            "trust": 1.0,
            "value": "HIGH"
          }
        ]
      }
    ],
    "sources": [
      {
        "db": "JVNDB",
        "id": "JVNDB-2024-002252"
      },
      {
        "db": "NVD",
        "id": "CVE-2023-32327"
      },
      {
        "db": "NVD",
        "id": "CVE-2023-32327"
      }
    ]
  },
  "description": {
    "@context": {
      "@vocab": "https://www.variotdbs.pl/ref/description#",
      "sources": {
        "@container": "@list",
        "@context": {
          "@vocab": "https://www.variotdbs.pl/ref/sources#"
        }
      }
    },
    "data": "IBM Security Access Manager Container (IBM Security Verify Access Appliance 10.0.0.0 through 10.0.6.1 and IBM Security Verify Access Docker 10.0.0.0 through 10.0.6.1) is vulnerable to an XML External Entity Injection (XXE) attack when processing XML data. A remote attacker could exploit this vulnerability to expose sensitive information or consume memory resources.  IBM X-Force ID:  254783",
    "sources": [
      {
        "db": "NVD",
        "id": "CVE-2023-32327"
      },
      {
        "db": "JVNDB",
        "id": "JVNDB-2024-002252"
      },
      {
        "db": "VULMON",
        "id": "CVE-2023-32327"
      }
    ],
    "trust": 1.71
  },
  "external_ids": {
    "@context": {
      "@vocab": "https://www.variotdbs.pl/ref/external_ids#",
      "data": {
        "@container": "@list"
      },
      "sources": {
        "@container": "@list",
        "@context": {
          "@vocab": "https://www.variotdbs.pl/ref/sources#"
        }
      }
    },
    "data": [
      {
        "db": "NVD",
        "id": "CVE-2023-32327",
        "trust": 2.7
      },
      {
        "db": "JVNDB",
        "id": "JVNDB-2024-002252",
        "trust": 0.8
      },
      {
        "db": "VULMON",
        "id": "CVE-2023-32327",
        "trust": 0.1
      }
    ],
    "sources": [
      {
        "db": "VULMON",
        "id": "CVE-2023-32327"
      },
      {
        "db": "JVNDB",
        "id": "JVNDB-2024-002252"
      },
      {
        "db": "NVD",
        "id": "CVE-2023-32327"
      }
    ]
  },
  "id": "VAR-202402-0187",
  "iot": {
    "@context": {
      "@vocab": "https://www.variotdbs.pl/ref/iot#",
      "sources": {
        "@container": "@list",
        "@context": {
          "@vocab": "https://www.variotdbs.pl/ref/sources#"
        }
      }
    },
    "data": true,
    "sources": [
      {
        "db": "VARIoT devices database",
        "id": null
      }
    ],
    "trust": 0.609333685
  },
  "last_update_date": "2024-02-10T23:16:03.025000Z",
  "patch": {
    "@context": {
      "@vocab": "https://www.variotdbs.pl/ref/patch#",
      "data": {
        "@container": "@list"
      },
      "sources": {
        "@container": "@list",
        "@context": {
          "@vocab": "https://www.variotdbs.pl/ref/sources#"
        }
      }
    },
    "data": [
      {
        "title": "7106586 IBM\u00a0X-Force\u00a0Exchange",
        "trust": 0.8,
        "url": "https://www.ibm.com/support/pages/node/7106586"
      }
    ],
    "sources": [
      {
        "db": "JVNDB",
        "id": "JVNDB-2024-002252"
      }
    ]
  },
  "problemtype_data": {
    "@context": {
      "@vocab": "https://www.variotdbs.pl/ref/problemtype_data#",
      "sources": {
        "@container": "@list",
        "@context": {
          "@vocab": "https://www.variotdbs.pl/ref/sources#"
        }
      }
    },
    "data": [
      {
        "problemtype": "CWE-611",
        "trust": 1.0
      },
      {
        "problemtype": "XML Improper restriction of external entity references (CWE-611) [ others ]",
        "trust": 0.8
      }
    ],
    "sources": [
      {
        "db": "JVNDB",
        "id": "JVNDB-2024-002252"
      },
      {
        "db": "NVD",
        "id": "CVE-2023-32327"
      }
    ]
  },
  "references": {
    "@context": {
      "@vocab": "https://www.variotdbs.pl/ref/references#",
      "data": {
        "@container": "@list"
      },
      "sources": {
        "@container": "@list",
        "@context": {
          "@vocab": "https://www.variotdbs.pl/ref/sources#"
        }
      }
    },
    "data": [
      {
        "trust": 1.1,
        "url": "https://www.ibm.com/support/pages/node/7106586"
      },
      {
        "trust": 1.1,
        "url": "https://exchange.xforce.ibmcloud.com/vulnerabilities/254783"
      },
      {
        "trust": 0.8,
        "url": "https://nvd.nist.gov/vuln/detail/cve-2023-32327"
      },
      {
        "trust": 0.1,
        "url": "https://cwe.mitre.org/data/definitions/611.html"
      },
      {
        "trust": 0.1,
        "url": "https://nvd.nist.gov"
      }
    ],
    "sources": [
      {
        "db": "VULMON",
        "id": "CVE-2023-32327"
      },
      {
        "db": "JVNDB",
        "id": "JVNDB-2024-002252"
      },
      {
        "db": "NVD",
        "id": "CVE-2023-32327"
      }
    ]
  },
  "sources": {
    "@context": {
      "@vocab": "https://www.variotdbs.pl/ref/sources#",
      "data": {
        "@container": "@list"
      }
    },
    "data": [
      {
        "db": "VULMON",
        "id": "CVE-2023-32327"
      },
      {
        "db": "JVNDB",
        "id": "JVNDB-2024-002252"
      },
      {
        "db": "NVD",
        "id": "CVE-2023-32327"
      }
    ]
  },
  "sources_release_date": {
    "@context": {
      "@vocab": "https://www.variotdbs.pl/ref/sources_release_date#",
      "data": {
        "@container": "@list"
      }
    },
    "data": [
      {
        "date": "2024-02-03T00:00:00",
        "db": "VULMON",
        "id": "CVE-2023-32327"
      },
      {
        "date": "2024-02-09T00:00:00",
        "db": "JVNDB",
        "id": "JVNDB-2024-002252"
      },
      {
        "date": "2024-02-03T01:15:08.653000",
        "db": "NVD",
        "id": "CVE-2023-32327"
      }
    ]
  },
  "sources_update_date": {
    "@context": {
      "@vocab": "https://www.variotdbs.pl/ref/sources_update_date#",
      "data": {
        "@container": "@list"
      }
    },
    "data": [
      {
        "date": "2024-02-05T00:00:00",
        "db": "VULMON",
        "id": "CVE-2023-32327"
      },
      {
        "date": "2024-02-09T02:06:00",
        "db": "JVNDB",
        "id": "JVNDB-2024-002252"
      },
      {
        "date": "2024-02-07T16:16:58.450000",
        "db": "NVD",
        "id": "CVE-2023-32327"
      }
    ]
  },
  "title": {
    "@context": {
      "@vocab": "https://www.variotdbs.pl/ref/title#",
      "sources": {
        "@container": "@list",
        "@context": {
          "@vocab": "https://www.variotdbs.pl/ref/sources#"
        }
      }
    },
    "data": "IBM\u00a0 of \u00a0Security\u00a0Verify\u00a0Access\u00a0 and \u00a0Security\u00a0Verify\u00a0Access\u00a0Docker\u00a0 In \u00a0XML\u00a0 External entity vulnerabilities",
    "sources": [
      {
        "db": "JVNDB",
        "id": "JVNDB-2024-002252"
      }
    ],
    "trust": 0.8
  }
}

gsd-2023-32327

Vulnerability from gsd

Modified

2023-12-13 01:20

Details

IBM Security Access Manager Container (IBM Security Verify Access Appliance 10.0.0.0 through 10.0.6.1 and IBM Security Verify Access Docker 10.0.0.0 through 10.0.6.1) is vulnerable to an XML External Entity Injection (XXE) attack when processing XML data. A remote attacker could exploit this vulnerability to expose sensitive information or consume memory resources. IBM X-Force ID: 254783.

Aliases

CVE-2023-32327

Aliases

CVE-2023-32327

JSON

To clipboard

{
  "GSD": {
    "alias": "CVE-2023-32327",
    "id": "GSD-2023-32327"
  },
  "gsd": {
    "metadata": {
      "exploitCode": "unknown",
      "remediation": "unknown",
      "reportConfidence": "confirmed",
      "type": "vulnerability"
    },
    "osvSchema": {
      "aliases": [
        "CVE-2023-32327"
      ],
      "details": "IBM Security Access Manager Container (IBM Security Verify Access Appliance 10.0.0.0 through 10.0.6.1 and IBM Security Verify Access Docker 10.0.0.0 through 10.0.6.1) is vulnerable to an XML External Entity Injection (XXE) attack when processing XML data. A remote attacker could exploit this vulnerability to expose sensitive information or consume memory resources.  IBM X-Force ID:  254783.",
      "id": "GSD-2023-32327",
      "modified": "2023-12-13T01:20:23.461893Z",
      "schema_version": "1.4.0"
    }
  },
  "namespaces": {
    "cve.org": {
      "CVE_data_meta": {
        "ASSIGNER": "psirt@us.ibm.com",
        "ID": "CVE-2023-32327",
        "STATE": "PUBLIC"
      },
      "affects": {
        "vendor": {
          "vendor_data": [
            {
              "product": {
                "product_data": [
                  {
                    "product_name": "Security Verify Access Appliance",
                    "version": {
                      "version_data": [
                        {
                          "version_affected": "\u003c=",
                          "version_name": "10.0.0.0",
                          "version_value": "10.0.6.1"
                        }
                      ]
                    }
                  },
                  {
                    "product_name": "Security Verify Access Docker",
                    "version": {
                      "version_data": [
                        {
                          "version_affected": "\u003c=",
                          "version_name": "10.0.0.0",
                          "version_value": "10.0.6.1"
                        }
                      ]
                    }
                  }
                ]
              },
              "vendor_name": "IBM"
            }
          ]
        }
      },
      "data_format": "MITRE",
      "data_type": "CVE",
      "data_version": "4.0",
      "description": {
        "description_data": [
          {
            "lang": "eng",
            "value": "IBM Security Access Manager Container (IBM Security Verify Access Appliance 10.0.0.0 through 10.0.6.1 and IBM Security Verify Access Docker 10.0.0.0 through 10.0.6.1) is vulnerable to an XML External Entity Injection (XXE) attack when processing XML data. A remote attacker could exploit this vulnerability to expose sensitive information or consume memory resources.  IBM X-Force ID:  254783."
          }
        ]
      },
      "generator": {
        "engine": "Vulnogram 0.1.0-dev"
      },
      "impact": {
        "cvss": [
          {
            "attackComplexity": "LOW",
            "attackVector": "NETWORK",
            "availabilityImpact": "LOW",
            "baseScore": 7.1,
            "baseSeverity": "HIGH",
            "confidentialityImpact": "HIGH",
            "integrityImpact": "NONE",
            "privilegesRequired": "LOW",
            "scope": "UNCHANGED",
            "userInteraction": "NONE",
            "vectorString": "CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:L",
            "version": "3.1"
          }
        ]
      },
      "problemtype": {
        "problemtype_data": [
          {
            "description": [
              {
                "cweId": "CWE-611",
                "lang": "eng",
                "value": "CWE-611 Improper Restriction of XML External Entity Reference"
              }
            ]
          }
        ]
      },
      "references": {
        "reference_data": [
          {
            "name": "https://www.ibm.com/support/pages/node/7106586",
            "refsource": "MISC",
            "url": "https://www.ibm.com/support/pages/node/7106586"
          },
          {
            "name": "https://exchange.xforce.ibmcloud.com/vulnerabilities/254783",
            "refsource": "MISC",
            "url": "https://exchange.xforce.ibmcloud.com/vulnerabilities/254783"
          }
        ]
      },
      "source": {
        "discovery": "UNKNOWN"
      }
    },
    "nvd.nist.gov": {
      "cve": {
        "configurations": [
          {
            "nodes": [
              {
                "cpeMatch": [
                  {
                    "criteria": "cpe:2.3:a:ibm:security_verify_access:*:*:*:*:*:*:*:*",
                    "matchCriteriaId": "A9EE363F-9A8F-4B2C-9769-6D5CB216CA2E",
                    "versionEndIncluding": "10.0.6.1",
                    "versionStartIncluding": "10.0.0.0",
                    "vulnerable": true
                  },
                  {
                    "criteria": "cpe:2.3:a:ibm:security_verify_access_docker:*:*:*:*:*:*:*:*",
                    "matchCriteriaId": "269E635A-02F3-402A-A5E0-2058658BE5A5",
                    "versionEndIncluding": "10.0.6.1",
                    "versionStartIncluding": "10.0.0.0",
                    "vulnerable": true
                  }
                ],
                "negate": false,
                "operator": "OR"
              }
            ]
          }
        ],
        "descriptions": [
          {
            "lang": "en",
            "value": "IBM Security Access Manager Container (IBM Security Verify Access Appliance 10.0.0.0 through 10.0.6.1 and IBM Security Verify Access Docker 10.0.0.0 through 10.0.6.1) is vulnerable to an XML External Entity Injection (XXE) attack when processing XML data. A remote attacker could exploit this vulnerability to expose sensitive information or consume memory resources.  IBM X-Force ID:  254783."
          },
          {
            "lang": "es",
            "value": "IBM Security Access Manager Container (IBM Security Verify Access Appliance 10.0.0.0 a 10.0.6.1 e IBM Security Verify Access Docker 10.0.0.0 a 10.0.6.1) es vulnerable a un ataque de inyecci\u00f3n de entidad externa XML (XXE) al procesar datos XML. Un atacante remoto podr\u00eda aprovechar esta vulnerabilidad para exponer informaci\u00f3n confidencial o consumir recursos de memoria. ID de IBM X-Force: 254783."
          }
        ],
        "id": "CVE-2023-32327",
        "lastModified": "2024-02-07T16:16:58.450",
        "metrics": {
          "cvssMetricV31": [
            {
              "cvssData": {
                "attackComplexity": "LOW",
                "attackVector": "NETWORK",
                "availabilityImpact": "LOW",
                "baseScore": 7.1,
                "baseSeverity": "HIGH",
                "confidentialityImpact": "HIGH",
                "integrityImpact": "NONE",
                "privilegesRequired": "LOW",
                "scope": "UNCHANGED",
                "userInteraction": "NONE",
                "vectorString": "CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:L",
                "version": "3.1"
              },
              "exploitabilityScore": 2.8,
              "impactScore": 4.2,
              "source": "nvd@nist.gov",
              "type": "Primary"
            },
            {
              "cvssData": {
                "attackComplexity": "LOW",
                "attackVector": "NETWORK",
                "availabilityImpact": "LOW",
                "baseScore": 7.1,
                "baseSeverity": "HIGH",
                "confidentialityImpact": "HIGH",
                "integrityImpact": "NONE",
                "privilegesRequired": "LOW",
                "scope": "UNCHANGED",
                "userInteraction": "NONE",
                "vectorString": "CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:L",
                "version": "3.1"
              },
              "exploitabilityScore": 2.8,
              "impactScore": 4.2,
              "source": "psirt@us.ibm.com",
              "type": "Secondary"
            }
          ]
        },
        "published": "2024-02-03T01:15:08.653",
        "references": [
          {
            "source": "psirt@us.ibm.com",
            "tags": [
              "VDB Entry",
              "Vendor Advisory"
            ],
            "url": "https://exchange.xforce.ibmcloud.com/vulnerabilities/254783"
          },
          {
            "source": "psirt@us.ibm.com",
            "tags": [
              "Patch",
              "Vendor Advisory"
            ],
            "url": "https://www.ibm.com/support/pages/node/7106586"
          }
        ],
        "sourceIdentifier": "psirt@us.ibm.com",
        "vulnStatus": "Analyzed",
        "weaknesses": [
          {
            "description": [
              {
                "lang": "en",
                "value": "CWE-611"
              }
            ],
            "source": "psirt@us.ibm.com",
            "type": "Primary"
          }
        ]
      }
    }
  }
}

CVE-2023-32327

Vulnerability from cvelistv5

Tags

Sightings

Nomenclature

Action not permitted

CVE-2023-32327

Vulnerability from cvelistv5

wid-sec-w-2024-0054

Vulnerability from csaf_certbund

ghsa-gg63-hgm5-v538

Vulnerability from github

var-202402-0187

Vulnerability from variot

gsd-2023-32327

Vulnerability from gsd

Tags

Sightings

Nomenclature