Action not permitted
Modal body text goes here.
Modal Title
Modal Body
CVE-2024-29041 (GCVE-0-2024-29041)
Vulnerability from cvelistv5 – Published: 2024-03-25 20:20 – Updated: 2024-08-02 01:03
VLAI
EPSS
Title
Express.js Open Redirect in malformed URLs
Summary
Express.js minimalist web framework for node. Versions of Express.js prior to 4.19.0 and all pre-release alpha and beta versions of 5.0 are affected by an open redirect vulnerability using malformed URLs. When a user of Express performs a redirect using a user-provided URL Express performs an encode [using `encodeurl`](https://github.com/pillarjs/encodeurl) on the contents before passing it to the `location` header. This can cause malformed URLs to be evaluated in unexpected ways by common redirect allow list implementations in Express applications, leading to an Open Redirect via bypass of a properly implemented allow list. The main method impacted is `res.location()` but this is also called from within `res.redirect()`. The vulnerability is fixed in 4.19.2 and 5.0.0-beta.3.
Severity
6.1 (Medium)
SSVC
Exploitation: none
Automatable: no
Technical Impact: partial
CISA Coordinator (v2.0.3)
CWE
Assigner
References
6 references
| URL | Tags |
|---|---|
| https://github.com/expressjs/express/security/adv… | x_refsource_CONFIRM |
| https://github.com/koajs/koa/issues/1800 | x_refsource_MISC |
| https://github.com/expressjs/express/pull/5539 | x_refsource_MISC |
| https://github.com/expressjs/express/commit/08673… | x_refsource_MISC |
| https://github.com/expressjs/express/commit/0b746… | x_refsource_MISC |
| https://expressjs.com/en/4x/api.html#res.location | x_refsource_MISC |
Impacted products
{
"containers": {
"adp": [
{
"metrics": [
{
"other": {
"content": {
"id": "CVE-2024-29041",
"options": [
{
"Exploitation": "none"
},
{
"Automatable": "no"
},
{
"Technical Impact": "partial"
}
],
"role": "CISA Coordinator",
"timestamp": "2024-03-26T13:59:28.274744Z",
"version": "2.0.3"
},
"type": "ssvc"
}
}
],
"providerMetadata": {
"dateUpdated": "2024-06-04T17:57:16.909Z",
"orgId": "134c704f-9b21-4f2e-91b3-4a467353bcc0",
"shortName": "CISA-ADP"
},
"title": "CISA ADP Vulnrichment"
},
{
"providerMetadata": {
"dateUpdated": "2024-08-02T01:03:51.705Z",
"orgId": "af854a3a-2127-422b-91ae-364da2661108",
"shortName": "CVE"
},
"references": [
{
"name": "https://github.com/expressjs/express/security/advisories/GHSA-rv95-896h-c2vc",
"tags": [
"x_refsource_CONFIRM",
"x_transferred"
],
"url": "https://github.com/expressjs/express/security/advisories/GHSA-rv95-896h-c2vc"
},
{
"name": "https://github.com/koajs/koa/issues/1800",
"tags": [
"x_refsource_MISC",
"x_transferred"
],
"url": "https://github.com/koajs/koa/issues/1800"
},
{
"name": "https://github.com/expressjs/express/pull/5539",
"tags": [
"x_refsource_MISC",
"x_transferred"
],
"url": "https://github.com/expressjs/express/pull/5539"
},
{
"name": "https://github.com/expressjs/express/commit/0867302ddbde0e9463d0564fea5861feb708c2dd",
"tags": [
"x_refsource_MISC",
"x_transferred"
],
"url": "https://github.com/expressjs/express/commit/0867302ddbde0e9463d0564fea5861feb708c2dd"
},
{
"name": "https://github.com/expressjs/express/commit/0b746953c4bd8e377123527db11f9cd866e39f94",
"tags": [
"x_refsource_MISC",
"x_transferred"
],
"url": "https://github.com/expressjs/express/commit/0b746953c4bd8e377123527db11f9cd866e39f94"
},
{
"name": "https://expressjs.com/en/4x/api.html#res.location",
"tags": [
"x_refsource_MISC",
"x_transferred"
],
"url": "https://expressjs.com/en/4x/api.html#res.location"
}
],
"title": "CVE Program Container"
}
],
"cna": {
"affected": [
{
"product": "express",
"vendor": "expressjs",
"versions": [
{
"status": "affected",
"version": "\u003e=4.14.0, \u003c4.19.0"
},
{
"status": "affected",
"version": "\u003e=5.0.0-alpha.1, \u003c5.0.0-beta.3"
}
]
}
],
"descriptions": [
{
"lang": "en",
"value": "Express.js minimalist web framework for node. Versions of Express.js prior to 4.19.0 and all pre-release alpha and beta versions of 5.0 are affected by an open redirect vulnerability using malformed URLs. When a user of Express performs a redirect using a user-provided URL Express performs an encode [using `encodeurl`](https://github.com/pillarjs/encodeurl) on the contents before passing it to the `location` header. This can cause malformed URLs to be evaluated in unexpected ways by common redirect allow list implementations in Express applications, leading to an Open Redirect via bypass of a properly implemented allow list. The main method impacted is `res.location()` but this is also called from within `res.redirect()`. The vulnerability is fixed in 4.19.2 and 5.0.0-beta.3."
}
],
"metrics": [
{
"cvssV3_1": {
"attackComplexity": "LOW",
"attackVector": "NETWORK",
"availabilityImpact": "NONE",
"baseScore": 6.1,
"baseSeverity": "MEDIUM",
"confidentialityImpact": "LOW",
"integrityImpact": "LOW",
"privilegesRequired": "NONE",
"scope": "CHANGED",
"userInteraction": "REQUIRED",
"vectorString": "CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N",
"version": "3.1"
}
}
],
"problemTypes": [
{
"descriptions": [
{
"cweId": "CWE-601",
"description": "CWE-601: URL Redirection to Untrusted Site (\u0027Open Redirect\u0027)",
"lang": "en",
"type": "CWE"
}
]
},
{
"descriptions": [
{
"cweId": "CWE-1286",
"description": "CWE-1286: Improper Validation of Syntactic Correctness of Input",
"lang": "en",
"type": "CWE"
}
]
}
],
"providerMetadata": {
"dateUpdated": "2024-03-25T20:20:06.205Z",
"orgId": "a0819718-46f1-4df5-94e2-005712e83aaa",
"shortName": "GitHub_M"
},
"references": [
{
"name": "https://github.com/expressjs/express/security/advisories/GHSA-rv95-896h-c2vc",
"tags": [
"x_refsource_CONFIRM"
],
"url": "https://github.com/expressjs/express/security/advisories/GHSA-rv95-896h-c2vc"
},
{
"name": "https://github.com/koajs/koa/issues/1800",
"tags": [
"x_refsource_MISC"
],
"url": "https://github.com/koajs/koa/issues/1800"
},
{
"name": "https://github.com/expressjs/express/pull/5539",
"tags": [
"x_refsource_MISC"
],
"url": "https://github.com/expressjs/express/pull/5539"
},
{
"name": "https://github.com/expressjs/express/commit/0867302ddbde0e9463d0564fea5861feb708c2dd",
"tags": [
"x_refsource_MISC"
],
"url": "https://github.com/expressjs/express/commit/0867302ddbde0e9463d0564fea5861feb708c2dd"
},
{
"name": "https://github.com/expressjs/express/commit/0b746953c4bd8e377123527db11f9cd866e39f94",
"tags": [
"x_refsource_MISC"
],
"url": "https://github.com/expressjs/express/commit/0b746953c4bd8e377123527db11f9cd866e39f94"
},
{
"name": "https://expressjs.com/en/4x/api.html#res.location",
"tags": [
"x_refsource_MISC"
],
"url": "https://expressjs.com/en/4x/api.html#res.location"
}
],
"source": {
"advisory": "GHSA-rv95-896h-c2vc",
"discovery": "UNKNOWN"
},
"title": "Express.js Open Redirect in malformed URLs"
}
},
"cveMetadata": {
"assignerOrgId": "a0819718-46f1-4df5-94e2-005712e83aaa",
"assignerShortName": "GitHub_M",
"cveId": "CVE-2024-29041",
"datePublished": "2024-03-25T20:20:06.205Z",
"dateReserved": "2024-03-14T16:59:47.614Z",
"dateUpdated": "2024-08-02T01:03:51.705Z",
"state": "PUBLISHED"
},
"dataType": "CVE_RECORD",
"dataVersion": "5.1",
"vulnerability-lookup:meta": {
"epss": {
"cve": "CVE-2024-29041",
"date": "2026-06-21",
"epss": "0.00786",
"percentile": "0.51292"
},
"fkie_nvd": {
"descriptions": "[{\"lang\": \"en\", \"value\": \"Express.js minimalist web framework for node. Versions of Express.js prior to 4.19.0 and all pre-release alpha and beta versions of 5.0 are affected by an open redirect vulnerability using malformed URLs. When a user of Express performs a redirect using a user-provided URL Express performs an encode [using `encodeurl`](https://github.com/pillarjs/encodeurl) on the contents before passing it to the `location` header. This can cause malformed URLs to be evaluated in unexpected ways by common redirect allow list implementations in Express applications, leading to an Open Redirect via bypass of a properly implemented allow list. The main method impacted is `res.location()` but this is also called from within `res.redirect()`. The vulnerability is fixed in 4.19.2 and 5.0.0-beta.3.\"}, {\"lang\": \"es\", \"value\": \"El framework web minimalista Express.js para node. Las versiones de Express.js anteriores a 4.19.0 y todas las versiones alfa y beta preliminares de 5.0 se ven afectadas por una vulnerabilidad de redireccionamiento abierto que utiliza URL con formato incorrecto. Cuando un usuario de Express realiza una redirecci\\u00f3n utilizando una URL proporcionada por el usuario, Express realiza una codificaci\\u00f3n [usando `encodeurl`](https://github.com/pillarjs/encodeurl) en el contenido antes de pasarlo al encabezado de `ubicaci\\u00f3n`. Esto puede hacer que las URL con formato incorrecto se eval\\u00faen de maneras inesperadas mediante implementaciones de listas permitidas de redireccionamiento com\\u00fan en aplicaciones Express, lo que lleva a una redirecci\\u00f3n abierta al omitir una lista permitida implementada correctamente. El m\\u00e9todo principal afectado es `res.location()` pero tambi\\u00e9n se llama desde `res.redirect()`. La vulnerabilidad se solucion\\u00f3 en 4.19.2 y 5.0.0-beta.3.\"}]",
"id": "CVE-2024-29041",
"lastModified": "2024-11-21T09:07:26.023",
"metrics": "{\"cvssMetricV31\": [{\"source\": \"security-advisories@github.com\", \"type\": \"Secondary\", \"cvssData\": {\"version\": \"3.1\", \"vectorString\": \"CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N\", \"baseScore\": 6.1, \"baseSeverity\": \"MEDIUM\", \"attackVector\": \"NETWORK\", \"attackComplexity\": \"LOW\", \"privilegesRequired\": \"NONE\", \"userInteraction\": \"REQUIRED\", \"scope\": \"CHANGED\", \"confidentialityImpact\": \"LOW\", \"integrityImpact\": \"LOW\", \"availabilityImpact\": \"NONE\"}, \"exploitabilityScore\": 2.8, \"impactScore\": 2.7}]}",
"published": "2024-03-25T21:15:46.847",
"references": "[{\"url\": \"https://expressjs.com/en/4x/api.html#res.location\", \"source\": \"security-advisories@github.com\"}, {\"url\": \"https://github.com/expressjs/express/commit/0867302ddbde0e9463d0564fea5861feb708c2dd\", \"source\": \"security-advisories@github.com\"}, {\"url\": \"https://github.com/expressjs/express/commit/0b746953c4bd8e377123527db11f9cd866e39f94\", \"source\": \"security-advisories@github.com\"}, {\"url\": \"https://github.com/expressjs/express/pull/5539\", \"source\": \"security-advisories@github.com\"}, {\"url\": \"https://github.com/expressjs/express/security/advisories/GHSA-rv95-896h-c2vc\", \"source\": \"security-advisories@github.com\"}, {\"url\": \"https://github.com/koajs/koa/issues/1800\", \"source\": \"security-advisories@github.com\"}, {\"url\": \"https://expressjs.com/en/4x/api.html#res.location\", \"source\": \"af854a3a-2127-422b-91ae-364da2661108\"}, {\"url\": \"https://github.com/expressjs/express/commit/0867302ddbde0e9463d0564fea5861feb708c2dd\", \"source\": \"af854a3a-2127-422b-91ae-364da2661108\"}, {\"url\": \"https://github.com/expressjs/express/commit/0b746953c4bd8e377123527db11f9cd866e39f94\", \"source\": \"af854a3a-2127-422b-91ae-364da2661108\"}, {\"url\": \"https://github.com/expressjs/express/pull/5539\", \"source\": \"af854a3a-2127-422b-91ae-364da2661108\"}, {\"url\": \"https://github.com/expressjs/express/security/advisories/GHSA-rv95-896h-c2vc\", \"source\": \"af854a3a-2127-422b-91ae-364da2661108\"}, {\"url\": \"https://github.com/koajs/koa/issues/1800\", \"source\": \"af854a3a-2127-422b-91ae-364da2661108\"}]",
"sourceIdentifier": "security-advisories@github.com",
"vulnStatus": "Awaiting Analysis",
"weaknesses": "[{\"source\": \"security-advisories@github.com\", \"type\": \"Secondary\", \"description\": [{\"lang\": \"en\", \"value\": \"CWE-601\"}, {\"lang\": \"en\", \"value\": \"CWE-1286\"}]}]"
},
"nvd": "{\"cve\":{\"id\":\"CVE-2024-29041\",\"sourceIdentifier\":\"security-advisories@github.com\",\"published\":\"2024-03-25T21:15:46.847\",\"lastModified\":\"2025-12-18T15:00:42.427\",\"vulnStatus\":\"Analyzed\",\"cveTags\":[],\"descriptions\":[{\"lang\":\"en\",\"value\":\"Express.js minimalist web framework for node. Versions of Express.js prior to 4.19.0 and all pre-release alpha and beta versions of 5.0 are affected by an open redirect vulnerability using malformed URLs. When a user of Express performs a redirect using a user-provided URL Express performs an encode [using `encodeurl`](https://github.com/pillarjs/encodeurl) on the contents before passing it to the `location` header. This can cause malformed URLs to be evaluated in unexpected ways by common redirect allow list implementations in Express applications, leading to an Open Redirect via bypass of a properly implemented allow list. The main method impacted is `res.location()` but this is also called from within `res.redirect()`. The vulnerability is fixed in 4.19.2 and 5.0.0-beta.3.\"},{\"lang\":\"es\",\"value\":\"El framework web minimalista Express.js para node. Las versiones de Express.js anteriores a 4.19.0 y todas las versiones alfa y beta preliminares de 5.0 se ven afectadas por una vulnerabilidad de redireccionamiento abierto que utiliza URL con formato incorrecto. Cuando un usuario de Express realiza una redirecci\u00f3n utilizando una URL proporcionada por el usuario, Express realiza una codificaci\u00f3n [usando `encodeurl`](https://github.com/pillarjs/encodeurl) en el contenido antes de pasarlo al encabezado de `ubicaci\u00f3n`. Esto puede hacer que las URL con formato incorrecto se eval\u00faen de maneras inesperadas mediante implementaciones de listas permitidas de redireccionamiento com\u00fan en aplicaciones Express, lo que lleva a una redirecci\u00f3n abierta al omitir una lista permitida implementada correctamente. El m\u00e9todo principal afectado es `res.location()` pero tambi\u00e9n se llama desde `res.redirect()`. La vulnerabilidad se solucion\u00f3 en 4.19.2 y 5.0.0-beta.3.\"}],\"metrics\":{\"cvssMetricV31\":[{\"source\":\"security-advisories@github.com\",\"type\":\"Secondary\",\"cvssData\":{\"version\":\"3.1\",\"vectorString\":\"CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N\",\"baseScore\":6.1,\"baseSeverity\":\"MEDIUM\",\"attackVector\":\"NETWORK\",\"attackComplexity\":\"LOW\",\"privilegesRequired\":\"NONE\",\"userInteraction\":\"REQUIRED\",\"scope\":\"CHANGED\",\"confidentialityImpact\":\"LOW\",\"integrityImpact\":\"LOW\",\"availabilityImpact\":\"NONE\"},\"exploitabilityScore\":2.8,\"impactScore\":2.7}]},\"weaknesses\":[{\"source\":\"security-advisories@github.com\",\"type\":\"Secondary\",\"description\":[{\"lang\":\"en\",\"value\":\"CWE-601\"},{\"lang\":\"en\",\"value\":\"CWE-1286\"}]}],\"configurations\":[{\"nodes\":[{\"operator\":\"OR\",\"negate\":false,\"cpeMatch\":[{\"vulnerable\":true,\"criteria\":\"cpe:2.3:a:openjsf:express:*:*:*:*:*:node.js:*:*\",\"versionEndExcluding\":\"4.19.2\",\"matchCriteriaId\":\"FB797C75-19DA-4D3C-A46D-528CF9C5F307\"},{\"vulnerable\":true,\"criteria\":\"cpe:2.3:a:openjsf:express:5.0.0:alpha1:*:*:*:node.js:*:*\",\"matchCriteriaId\":\"50C7D4CD-B4D9-433E-B3FC-AB309FA31CCA\"},{\"vulnerable\":true,\"criteria\":\"cpe:2.3:a:openjsf:express:5.0.0:alpha2:*:*:*:node.js:*:*\",\"matchCriteriaId\":\"7DFB65DE-73BB-4BB5-84BA-67B187DD2DA9\"},{\"vulnerable\":true,\"criteria\":\"cpe:2.3:a:openjsf:express:5.0.0:alpha3:*:*:*:node.js:*:*\",\"matchCriteriaId\":\"B709D2E7-2D50-4A90-B000-0DEB55B80682\"},{\"vulnerable\":true,\"criteria\":\"cpe:2.3:a:openjsf:express:5.0.0:alpha4:*:*:*:node.js:*:*\",\"matchCriteriaId\":\"E388EA8E-03EF-41C9-98C6-68D96DAF92A8\"},{\"vulnerable\":true,\"criteria\":\"cpe:2.3:a:openjsf:express:5.0.0:alpha5:*:*:*:node.js:*:*\",\"matchCriteriaId\":\"A7D7FA44-E213-4931-A92B-2C46CA1F6EC5\"},{\"vulnerable\":true,\"criteria\":\"cpe:2.3:a:openjsf:express:5.0.0:alpha6:*:*:*:node.js:*:*\",\"matchCriteriaId\":\"EBFE2596-A7DE-455C-A59A-1B56ACA82D4F\"},{\"vulnerable\":true,\"criteria\":\"cpe:2.3:a:openjsf:express:5.0.0:alpha7:*:*:*:node.js:*:*\",\"matchCriteriaId\":\"F68E52F1-1A06-45D4-8593-3D5D7EC32330\"},{\"vulnerable\":true,\"criteria\":\"cpe:2.3:a:openjsf:express:5.0.0:alpha8:*:*:*:node.js:*:*\",\"matchCriteriaId\":\"0F5FEAD7-A1EB-4FB1-8B15-A717642961F0\"},{\"vulnerable\":true,\"criteria\":\"cpe:2.3:a:openjsf:express:5.0.0:beta1:*:*:*:node.js:*:*\",\"matchCriteriaId\":\"2CC3B849-8DAF-47E5-A4EB-E93394C7396A\"},{\"vulnerable\":true,\"criteria\":\"cpe:2.3:a:openjsf:express:5.0.0:beta2:*:*:*:node.js:*:*\",\"matchCriteriaId\":\"6058D4DD-DE9D-4AD9-87A0-22F81C33F81E\"}]}]}],\"references\":[{\"url\":\"https://expressjs.com/en/4x/api.html#res.location\",\"source\":\"security-advisories@github.com\",\"tags\":[\"Technical Description\"]},{\"url\":\"https://github.com/expressjs/express/commit/0867302ddbde0e9463d0564fea5861feb708c2dd\",\"source\":\"security-advisories@github.com\",\"tags\":[\"Patch\"]},{\"url\":\"https://github.com/expressjs/express/commit/0b746953c4bd8e377123527db11f9cd866e39f94\",\"source\":\"security-advisories@github.com\",\"tags\":[\"Patch\"]},{\"url\":\"https://github.com/expressjs/express/pull/5539\",\"source\":\"security-advisories@github.com\",\"tags\":[\"Issue Tracking\"]},{\"url\":\"https://github.com/expressjs/express/security/advisories/GHSA-rv95-896h-c2vc\",\"source\":\"security-advisories@github.com\",\"tags\":[\"Patch\",\"Vendor Advisory\"]},{\"url\":\"https://github.com/koajs/koa/issues/1800\",\"source\":\"security-advisories@github.com\",\"tags\":[\"Issue Tracking\"]},{\"url\":\"https://expressjs.com/en/4x/api.html#res.location\",\"source\":\"af854a3a-2127-422b-91ae-364da2661108\",\"tags\":[\"Technical Description\"]},{\"url\":\"https://github.com/expressjs/express/commit/0867302ddbde0e9463d0564fea5861feb708c2dd\",\"source\":\"af854a3a-2127-422b-91ae-364da2661108\",\"tags\":[\"Patch\"]},{\"url\":\"https://github.com/expressjs/express/commit/0b746953c4bd8e377123527db11f9cd866e39f94\",\"source\":\"af854a3a-2127-422b-91ae-364da2661108\",\"tags\":[\"Patch\"]},{\"url\":\"https://github.com/expressjs/express/pull/5539\",\"source\":\"af854a3a-2127-422b-91ae-364da2661108\",\"tags\":[\"Issue Tracking\"]},{\"url\":\"https://github.com/expressjs/express/security/advisories/GHSA-rv95-896h-c2vc\",\"source\":\"af854a3a-2127-422b-91ae-364da2661108\",\"tags\":[\"Patch\",\"Vendor Advisory\"]},{\"url\":\"https://github.com/koajs/koa/issues/1800\",\"source\":\"af854a3a-2127-422b-91ae-364da2661108\",\"tags\":[\"Issue Tracking\"]}]}}",
"vulnrichment": {
"containers": "{\"cna\": {\"title\": \"Express.js Open Redirect in malformed URLs\", \"problemTypes\": [{\"descriptions\": [{\"cweId\": \"CWE-601\", \"lang\": \"en\", \"description\": \"CWE-601: URL Redirection to Untrusted Site (\u0027Open Redirect\u0027)\", \"type\": \"CWE\"}]}, {\"descriptions\": [{\"cweId\": \"CWE-1286\", \"lang\": \"en\", \"description\": \"CWE-1286: Improper Validation of Syntactic Correctness of Input\", \"type\": \"CWE\"}]}], \"metrics\": [{\"cvssV3_1\": {\"attackComplexity\": \"LOW\", \"attackVector\": \"NETWORK\", \"availabilityImpact\": \"NONE\", \"baseScore\": 6.1, \"baseSeverity\": \"MEDIUM\", \"confidentialityImpact\": \"LOW\", \"integrityImpact\": \"LOW\", \"privilegesRequired\": \"NONE\", \"scope\": \"CHANGED\", \"userInteraction\": \"REQUIRED\", \"vectorString\": \"CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N\", \"version\": \"3.1\"}}], \"references\": [{\"name\": \"https://github.com/expressjs/express/security/advisories/GHSA-rv95-896h-c2vc\", \"tags\": [\"x_refsource_CONFIRM\"], \"url\": \"https://github.com/expressjs/express/security/advisories/GHSA-rv95-896h-c2vc\"}, {\"name\": \"https://github.com/koajs/koa/issues/1800\", \"tags\": [\"x_refsource_MISC\"], \"url\": \"https://github.com/koajs/koa/issues/1800\"}, {\"name\": \"https://github.com/expressjs/express/pull/5539\", \"tags\": [\"x_refsource_MISC\"], \"url\": \"https://github.com/expressjs/express/pull/5539\"}, {\"name\": \"https://github.com/expressjs/express/commit/0867302ddbde0e9463d0564fea5861feb708c2dd\", \"tags\": [\"x_refsource_MISC\"], \"url\": \"https://github.com/expressjs/express/commit/0867302ddbde0e9463d0564fea5861feb708c2dd\"}, {\"name\": \"https://github.com/expressjs/express/commit/0b746953c4bd8e377123527db11f9cd866e39f94\", \"tags\": [\"x_refsource_MISC\"], \"url\": \"https://github.com/expressjs/express/commit/0b746953c4bd8e377123527db11f9cd866e39f94\"}, {\"name\": \"https://expressjs.com/en/4x/api.html#res.location\", \"tags\": [\"x_refsource_MISC\"], \"url\": \"https://expressjs.com/en/4x/api.html#res.location\"}], \"affected\": [{\"vendor\": \"expressjs\", \"product\": \"express\", \"versions\": [{\"version\": \"\u003e=4.14.0, \u003c4.19.0\", \"status\": \"affected\"}, {\"version\": \"\u003e=5.0.0-alpha.1, \u003c5.0.0-beta.3\", \"status\": \"affected\"}]}], \"providerMetadata\": {\"orgId\": \"a0819718-46f1-4df5-94e2-005712e83aaa\", \"shortName\": \"GitHub_M\", \"dateUpdated\": \"2024-03-25T20:20:06.205Z\"}, \"descriptions\": [{\"lang\": \"en\", \"value\": \"Express.js minimalist web framework for node. Versions of Express.js prior to 4.19.0 and all pre-release alpha and beta versions of 5.0 are affected by an open redirect vulnerability using malformed URLs. When a user of Express performs a redirect using a user-provided URL Express performs an encode [using `encodeurl`](https://github.com/pillarjs/encodeurl) on the contents before passing it to the `location` header. This can cause malformed URLs to be evaluated in unexpected ways by common redirect allow list implementations in Express applications, leading to an Open Redirect via bypass of a properly implemented allow list. The main method impacted is `res.location()` but this is also called from within `res.redirect()`. The vulnerability is fixed in 4.19.2 and 5.0.0-beta.3.\"}], \"source\": {\"advisory\": \"GHSA-rv95-896h-c2vc\", \"discovery\": \"UNKNOWN\"}}, \"adp\": [{\"metrics\": [{\"other\": {\"type\": \"ssvc\", \"content\": {\"id\": \"CVE-2024-29041\", \"role\": \"CISA Coordinator\", \"options\": [{\"Exploitation\": \"none\"}, {\"Automatable\": \"no\"}, {\"Technical Impact\": \"partial\"}], \"version\": \"2.0.3\", \"timestamp\": \"2024-03-26T13:59:28.274744Z\"}}}], \"providerMetadata\": {\"orgId\": \"134c704f-9b21-4f2e-91b3-4a467353bcc0\", \"shortName\": \"CISA-ADP\", \"dateUpdated\": \"2024-05-23T19:01:19.506Z\"}, \"title\": \"CISA ADP Vulnrichment\"}]}",
"cveMetadata": "{\"cveId\": \"CVE-2024-29041\", \"assignerOrgId\": \"a0819718-46f1-4df5-94e2-005712e83aaa\", \"state\": \"PUBLISHED\", \"assignerShortName\": \"GitHub_M\", \"dateReserved\": \"2024-03-14T16:59:47.614Z\", \"datePublished\": \"2024-03-25T20:20:06.205Z\", \"dateUpdated\": \"2024-06-04T17:57:16.909Z\"}",
"dataType": "CVE_RECORD",
"dataVersion": "5.1"
}
}
}
WID-SEC-W-2024-0956
Vulnerability from csaf_certbund - Published: 2024-04-23 22:00 - Updated: 2026-01-25 23:00Summary
IBM App Connect Enterprise: Mehrere Schwachstellen
Severity
Mittel
Notes
Das BSI ist als Anbieter für die eigenen, zur Nutzung bereitgestellten Inhalte nach den allgemeinen Gesetzen verantwortlich. Nutzerinnen und Nutzer sind jedoch dafür verantwortlich, die Verwendung und/oder die Umsetzung der mit den Inhalten bereitgestellten Informationen sorgfältig im Einzelfall zu prüfen.
Produktbeschreibung: IBM App Connect Enterprise kombiniert die branchenbewährten Technologien des IBM Integration Bus mit Cloud-nativen Technologien.
Angriff: Ein entfernter Angreifer kann mehrere Schwachstellen in IBM App Connect Enterprise ausnutzen, um Phishing-Angriffe durchzuführen, Sicherheitsmaßnahmen zu umgehen oder vertrauliche Informationen offenzulegen.
Betroffene Betriebssysteme: - Linux
Affected products
Known affected
4 products
| Product | Identifier | Version | Remediation |
|---|---|---|---|
|
IBM DB2 Big SQL
IBM / DB2
|
cpe:/a:ibm:db2:big_sql
|
Big SQL | |
|
IBM App Connect Enterprise <5.0.17 LTS
IBM / App Connect Enterprise
|
<5.0.17 LTS | ||
|
IBM App Connect Enterprise
IBM / App Connect Enterprise
|
cpe:/a:ibm:app_connect_enterprise:-
|
— | |
|
IBM App Connect Enterprise <11.5.0
IBM / App Connect Enterprise
|
<11.5.0 |
Affected products
Known affected
4 products
| Product | Identifier | Version | Remediation |
|---|---|---|---|
|
IBM DB2 Big SQL
IBM / DB2
|
cpe:/a:ibm:db2:big_sql
|
Big SQL | |
|
IBM App Connect Enterprise <5.0.17 LTS
IBM / App Connect Enterprise
|
<5.0.17 LTS | ||
|
IBM App Connect Enterprise
IBM / App Connect Enterprise
|
cpe:/a:ibm:app_connect_enterprise:-
|
— | |
|
IBM App Connect Enterprise <11.5.0
IBM / App Connect Enterprise
|
<11.5.0 |
Affected products
Known affected
4 products
| Product | Identifier | Version | Remediation |
|---|---|---|---|
|
IBM DB2 Big SQL
IBM / DB2
|
cpe:/a:ibm:db2:big_sql
|
Big SQL | |
|
IBM App Connect Enterprise <5.0.17 LTS
IBM / App Connect Enterprise
|
<5.0.17 LTS | ||
|
IBM App Connect Enterprise
IBM / App Connect Enterprise
|
cpe:/a:ibm:app_connect_enterprise:-
|
— | |
|
IBM App Connect Enterprise <11.5.0
IBM / App Connect Enterprise
|
<11.5.0 |
References
6 references
{
"document": {
"aggregate_severity": {
"text": "mittel"
},
"category": "csaf_base",
"csaf_version": "2.0",
"distribution": {
"tlp": {
"label": "WHITE",
"url": "https://www.first.org/tlp/"
}
},
"lang": "de-DE",
"notes": [
{
"category": "legal_disclaimer",
"text": "Das BSI ist als Anbieter f\u00fcr die eigenen, zur Nutzung bereitgestellten Inhalte nach den allgemeinen Gesetzen verantwortlich. Nutzerinnen und Nutzer sind jedoch daf\u00fcr verantwortlich, die Verwendung und/oder die Umsetzung der mit den Inhalten bereitgestellten Informationen sorgf\u00e4ltig im Einzelfall zu pr\u00fcfen."
},
{
"category": "description",
"text": "IBM App Connect Enterprise kombiniert die branchenbew\u00e4hrten Technologien des IBM Integration Bus mit Cloud-nativen Technologien.",
"title": "Produktbeschreibung"
},
{
"category": "summary",
"text": "Ein entfernter Angreifer kann mehrere Schwachstellen in IBM App Connect Enterprise ausnutzen, um Phishing-Angriffe durchzuf\u00fchren, Sicherheitsma\u00dfnahmen zu umgehen oder vertrauliche Informationen offenzulegen.",
"title": "Angriff"
},
{
"category": "general",
"text": "- Linux",
"title": "Betroffene Betriebssysteme"
}
],
"publisher": {
"category": "other",
"contact_details": "csaf-provider@cert-bund.de",
"name": "Bundesamt f\u00fcr Sicherheit in der Informationstechnik",
"namespace": "https://www.bsi.bund.de"
},
"references": [
{
"category": "self",
"summary": "WID-SEC-W-2024-0956 - CSAF Version",
"url": "https://wid.cert-bund.de/.well-known/csaf/white/2024/wid-sec-w-2024-0956.json"
},
{
"category": "self",
"summary": "WID-SEC-2024-0956 - Portal Version",
"url": "https://wid.cert-bund.de/portal/wid/securityadvisory?name=WID-SEC-2024-0956"
},
{
"category": "external",
"summary": "IBM Security Bulletin vom 2024-04-23",
"url": "https://www.ibm.com/support/pages/node/7149177"
},
{
"category": "external",
"summary": "IBM Security Bulletin vom 2024-04-23",
"url": "https://www.ibm.com/support/pages/node/7149179"
},
{
"category": "external",
"summary": "IBM Security Bulletin 7150843 vom 2024-05-10",
"url": "https://www.ibm.com/support/pages/node/7150843"
},
{
"category": "external",
"summary": "IBM Security Bulletin 7257983 vom 2026-01-25",
"url": "https://www.ibm.com/support/pages/node/7257983"
}
],
"source_lang": "en-US",
"title": "IBM App Connect Enterprise: Mehrere Schwachstellen",
"tracking": {
"current_release_date": "2026-01-25T23:00:00.000+00:00",
"generator": {
"date": "2026-01-26T09:23:21.990+00:00",
"engine": {
"name": "BSI-WID",
"version": "1.5.0"
}
},
"id": "WID-SEC-W-2024-0956",
"initial_release_date": "2024-04-23T22:00:00.000+00:00",
"revision_history": [
{
"date": "2024-04-23T22:00:00.000+00:00",
"number": "1",
"summary": "Initiale Fassung"
},
{
"date": "2024-05-12T22:00:00.000+00:00",
"number": "2",
"summary": "Neue Updates von IBM aufgenommen"
},
{
"date": "2026-01-25T23:00:00.000+00:00",
"number": "3",
"summary": "Neue Updates von IBM aufgenommen"
}
],
"status": "final",
"version": "3"
}
},
"product_tree": {
"branches": [
{
"branches": [
{
"branches": [
{
"category": "product_name",
"name": "IBM App Connect Enterprise",
"product": {
"name": "IBM App Connect Enterprise",
"product_id": "T032495",
"product_identification_helper": {
"cpe": "cpe:/a:ibm:app_connect_enterprise:-"
}
}
},
{
"category": "product_version_range",
"name": "\u003c11.5.0",
"product": {
"name": "IBM App Connect Enterprise \u003c11.5.0",
"product_id": "T034375"
}
},
{
"category": "product_version",
"name": "11.5.0",
"product": {
"name": "IBM App Connect Enterprise 11.5.0",
"product_id": "T034375-fixed",
"product_identification_helper": {
"cpe": "cpe:/a:ibm:app_connect_enterprise:11.5.0"
}
}
},
{
"category": "product_version_range",
"name": "\u003c5.0.17 LTS",
"product": {
"name": "IBM App Connect Enterprise \u003c5.0.17 LTS",
"product_id": "T034376"
}
},
{
"category": "product_version",
"name": "5.0.17 LTS",
"product": {
"name": "IBM App Connect Enterprise 5.0.17 LTS",
"product_id": "T034376-fixed",
"product_identification_helper": {
"cpe": "cpe:/a:ibm:app_connect_enterprise:5.0.17_lts"
}
}
}
],
"category": "product_name",
"name": "App Connect Enterprise"
},
{
"branches": [
{
"category": "product_version",
"name": "Big SQL",
"product": {
"name": "IBM DB2 Big SQL",
"product_id": "T022379",
"product_identification_helper": {
"cpe": "cpe:/a:ibm:db2:big_sql"
}
}
}
],
"category": "product_name",
"name": "DB2"
}
],
"category": "vendor",
"name": "IBM"
}
]
},
"vulnerabilities": [
{
"cve": "CVE-2024-29041",
"product_status": {
"known_affected": [
"T022379",
"T034376",
"T032495",
"T034375"
]
},
"release_date": "2024-04-23T22:00:00.000+00:00",
"title": "CVE-2024-29041"
},
{
"cve": "CVE-2024-30260",
"product_status": {
"known_affected": [
"T022379",
"T034376",
"T032495",
"T034375"
]
},
"release_date": "2024-04-23T22:00:00.000+00:00",
"title": "CVE-2024-30260"
},
{
"cve": "CVE-2024-30261",
"product_status": {
"known_affected": [
"T022379",
"T034376",
"T032495",
"T034375"
]
},
"release_date": "2024-04-23T22:00:00.000+00:00",
"title": "CVE-2024-30261"
}
]
}
WID-SEC-W-2024-1590
Vulnerability from csaf_certbund - Published: 2024-07-10 22:00 - Updated: 2024-12-18 23:00Summary
HCL BigFix: Mehrere Schwachstellen
Severity
Hoch
Notes
Das BSI ist als Anbieter für die eigenen, zur Nutzung bereitgestellten Inhalte nach den allgemeinen Gesetzen verantwortlich. Nutzerinnen und Nutzer sind jedoch dafür verantwortlich, die Verwendung und/oder die Umsetzung der mit den Inhalten bereitgestellten Informationen sorgfältig im Einzelfall zu prüfen.
Produktbeschreibung: BigFix ist eine Lösung zum Erkennen und Verwalten von physischen und virtuellen Endpunkten.
Angriff: Ein entfernter, anonymer Angreifer kann mehrere Schwachstellen in HCL BigFix ausnutzen, um einen Denial of Service Angriff durchzuführen, ertrauliche Informationen preiszugeben, Daten zu manipulieren und Sicherheitsmaßnahmen zu umgehen.
Betroffene Betriebssysteme: - Sonstiges
- UNIX
- Windows
Es besteht eine Schwachstelle in HCL BigFix WebUI-Sites. Diese Fehler besteht, weil die eingebetteten JavaScript-Vorlagen aufgrund des Fehlens eines bestimmten Verschmutzungsschutzes anfällig sind. Ein entfernter, anonymer Angreifer kann diese Schwachstelle ausnutzen, um vertrauliche Informationen preiszugeben, Dateien zu manipulieren und einen Denial-of-Service-Zustand zu erzeugen.
Affected products
Known affected
5 products
| Product | Identifier | Version | Remediation |
|---|---|---|---|
|
HCL BigFix Query <4.7.0
HCL / BigFix
|
Query <4.7.0 | ||
|
HCL BigFix PM <84
HCL / BigFix
|
PM <84 | ||
|
HCL BigFix Server Automation
HCL / BigFix
|
cpe:/a:hcltech:bigfix:server_automation
|
Server Automation | |
|
HCL BigFix WebUI
HCL / BigFix
|
cpe:/a:hcltech:bigfix:webui
|
WebUI | |
|
HCL BigFix WebUI
HCL / BigFix
|
cpe:/a:hcltech:bigfix:webui
|
WebUI |
Es bestehen mehrere Schwachstellen in HCL BigFix Query. Diese Fehler bestehen aufgrund einer unsachgemäßen Kategorisierung bestimmter IP-Adressen in Node.js und aufgrund einer unsachgemäßen Kodierung der vom Benutzer bereitgestellten URLs im Express.js-Framework. Ein entfernter, anonymer Angreifer kann diese Schwachstellen ausnutzen, um Sicherheitsmaßnahmen zu umgehen
Affected products
Known affected
3 products
| Product | Identifier | Version | Remediation |
|---|---|---|---|
|
HCL BigFix Query <4.7.0
HCL / BigFix
|
Query <4.7.0 | ||
|
HCL BigFix Server Automation
HCL / BigFix
|
cpe:/a:hcltech:bigfix:server_automation
|
Server Automation | |
|
HCL BigFix WebUI
HCL / BigFix
|
cpe:/a:hcltech:bigfix:webui
|
WebUI |
Es bestehen mehrere Schwachstellen in HCL BigFix Query. Diese Fehler bestehen aufgrund einer unsachgemäßen Kategorisierung bestimmter IP-Adressen in Node.js und aufgrund einer unsachgemäßen Kodierung der vom Benutzer bereitgestellten URLs im Express.js-Framework. Ein entfernter, anonymer Angreifer kann diese Schwachstellen ausnutzen, um Sicherheitsmaßnahmen zu umgehen
Affected products
Known affected
3 products
| Product | Identifier | Version | Remediation |
|---|---|---|---|
|
HCL BigFix Query <4.7.0
HCL / BigFix
|
Query <4.7.0 | ||
|
HCL BigFix Server Automation
HCL / BigFix
|
cpe:/a:hcltech:bigfix:server_automation
|
Server Automation | |
|
HCL BigFix WebUI
HCL / BigFix
|
cpe:/a:hcltech:bigfix:webui
|
WebUI |
Es besteht eine Schwachstelle in HCL BigFix Power Management. Diese Fehler besteht aufgrund der unsachgemäßen Eingabevalidierung im jQuery Validation Plugin. Ein entfernter, anonymer Angreifer kann diese Schwachstelle ausnutzen, um einen Regular Expression Denial of Service (ReDoS) zu erzeugen, indem er eine beliebige Eingabe an die url2-Methode sendet. Die Sicherheitslücke CVE-2022-31147 besteht aufgrund der unvollständigen Behebung von CVE-2021-43306.
Affected products
Known affected
5 products
| Product | Identifier | Version | Remediation |
|---|---|---|---|
|
HCL BigFix Query <4.7.0
HCL / BigFix
|
Query <4.7.0 | ||
|
HCL BigFix PM <84
HCL / BigFix
|
PM <84 | ||
|
HCL BigFix Server Automation
HCL / BigFix
|
cpe:/a:hcltech:bigfix:server_automation
|
Server Automation | |
|
HCL BigFix WebUI
HCL / BigFix
|
cpe:/a:hcltech:bigfix:webui
|
WebUI | |
|
HCL BigFix WebUI
HCL / BigFix
|
cpe:/a:hcltech:bigfix:webui
|
WebUI |
Es besteht eine Schwachstelle in HCL BigFix Power Management. Diese Fehler besteht aufgrund der unsachgemäßen Eingabevalidierung im jQuery Validation Plugin. Ein entfernter, anonymer Angreifer kann diese Schwachstelle ausnutzen, um einen Regular Expression Denial of Service (ReDoS) zu erzeugen, indem er eine beliebige Eingabe an die url2-Methode sendet. Die Sicherheitslücke CVE-2022-31147 besteht aufgrund der unvollständigen Behebung von CVE-2021-43306.
Affected products
Known affected
5 products
| Product | Identifier | Version | Remediation |
|---|---|---|---|
|
HCL BigFix Query <4.7.0
HCL / BigFix
|
Query <4.7.0 | ||
|
HCL BigFix PM <84
HCL / BigFix
|
PM <84 | ||
|
HCL BigFix Server Automation
HCL / BigFix
|
cpe:/a:hcltech:bigfix:server_automation
|
Server Automation | |
|
HCL BigFix WebUI
HCL / BigFix
|
cpe:/a:hcltech:bigfix:webui
|
WebUI | |
|
HCL BigFix WebUI
HCL / BigFix
|
cpe:/a:hcltech:bigfix:webui
|
WebUI |
References
8 references
{
"document": {
"aggregate_severity": {
"text": "hoch"
},
"category": "csaf_base",
"csaf_version": "2.0",
"distribution": {
"tlp": {
"label": "WHITE",
"url": "https://www.first.org/tlp/"
}
},
"lang": "de-DE",
"notes": [
{
"category": "legal_disclaimer",
"text": "Das BSI ist als Anbieter f\u00fcr die eigenen, zur Nutzung bereitgestellten Inhalte nach den allgemeinen Gesetzen verantwortlich. Nutzerinnen und Nutzer sind jedoch daf\u00fcr verantwortlich, die Verwendung und/oder die Umsetzung der mit den Inhalten bereitgestellten Informationen sorgf\u00e4ltig im Einzelfall zu pr\u00fcfen."
},
{
"category": "description",
"text": "BigFix ist eine L\u00f6sung zum Erkennen und Verwalten von physischen und virtuellen Endpunkten.",
"title": "Produktbeschreibung"
},
{
"category": "summary",
"text": "Ein entfernter, anonymer Angreifer kann mehrere Schwachstellen in HCL BigFix ausnutzen, um einen Denial of Service Angriff durchzuf\u00fchren, ertrauliche Informationen preiszugeben, Daten zu manipulieren und Sicherheitsma\u00dfnahmen zu umgehen.",
"title": "Angriff"
},
{
"category": "general",
"text": "- Sonstiges\n- UNIX\n- Windows",
"title": "Betroffene Betriebssysteme"
}
],
"publisher": {
"category": "other",
"contact_details": "csaf-provider@cert-bund.de",
"name": "Bundesamt f\u00fcr Sicherheit in der Informationstechnik",
"namespace": "https://www.bsi.bund.de"
},
"references": [
{
"category": "self",
"summary": "WID-SEC-W-2024-1590 - CSAF Version",
"url": "https://wid.cert-bund.de/.well-known/csaf/white/2024/wid-sec-w-2024-1590.json"
},
{
"category": "self",
"summary": "WID-SEC-2024-1590 - Portal Version",
"url": "https://wid.cert-bund.de/portal/wid/securityadvisory?name=WID-SEC-2024-1590"
},
{
"category": "external",
"summary": "HCL Security Bulletin vom 2024-07-10",
"url": "https://support.hcltechsw.com/community?id=community_blog\u0026sys_id=41c2808e1b930ad0534c4159cc4bcba7"
},
{
"category": "external",
"summary": "HCL Security Bulletin vom 2024-07-10",
"url": "https://support.hcltechsw.com/community?id=community_blog\u0026sys_id=944daab91b1786d0534c4159cc4bcb58"
},
{
"category": "external",
"summary": "HCL Security Bulletin vom 2024-07-10",
"url": "https://support.hcltechsw.com/community?id=community_blog\u0026sys_id=cef753bd1bd3c6d0534c4159cc4bcbaa"
},
{
"category": "external",
"summary": "HCL Security Bulletin vom 2024-07-10",
"url": "https://support.hcltechsw.com/csm?id=kb_article\u0026sysparm_article=KB0114657"
},
{
"category": "external",
"summary": "HCL Article KB0114591 vom 2024-07-28",
"url": "https://support.hcltechsw.com/csm?id=kb_article\u0026sysparm_article=KB0114591"
},
{
"category": "external",
"summary": "HCL Security Bulletin vom 2024-12-18",
"url": "https://support.hcl-software.com/community?id=community_blog\u0026sys_id=1af3c435fb2216d0db10f2797befdc15"
}
],
"source_lang": "en-US",
"title": "HCL BigFix: Mehrere Schwachstellen",
"tracking": {
"current_release_date": "2024-12-18T23:00:00.000+00:00",
"generator": {
"date": "2024-12-19T09:14:43.596+00:00",
"engine": {
"name": "BSI-WID",
"version": "1.3.10"
}
},
"id": "WID-SEC-W-2024-1590",
"initial_release_date": "2024-07-10T22:00:00.000+00:00",
"revision_history": [
{
"date": "2024-07-10T22:00:00.000+00:00",
"number": "1",
"summary": "Initiale Fassung"
},
{
"date": "2024-07-28T22:00:00.000+00:00",
"number": "2",
"summary": "Neue Updates von HCL aufgenommen"
},
{
"date": "2024-12-18T23:00:00.000+00:00",
"number": "3",
"summary": "Neue Updates aufgenommen"
}
],
"status": "final",
"version": "3"
}
},
"product_tree": {
"branches": [
{
"branches": [
{
"branches": [
{
"category": "product_version",
"name": "WebUI",
"product": {
"name": "HCL BigFix WebUI",
"product_id": "T023767",
"product_identification_helper": {
"cpe": "cpe:/a:hcltech:bigfix:webui"
}
}
},
{
"category": "product_version_range",
"name": "Query \u003c4.7.0",
"product": {
"name": "HCL BigFix Query \u003c4.7.0",
"product_id": "T036096"
}
},
{
"category": "product_version",
"name": "Query 4.7.0",
"product": {
"name": "HCL BigFix Query 4.7.0",
"product_id": "T036096-fixed",
"product_identification_helper": {
"cpe": "cpe:/a:hcltech:bigfix:query__4.7.0"
}
}
},
{
"category": "product_version_range",
"name": "PM \u003c84",
"product": {
"name": "HCL BigFix PM \u003c84",
"product_id": "T036097"
}
},
{
"category": "product_version",
"name": "PM 84",
"product": {
"name": "HCL BigFix PM 84",
"product_id": "T036097-fixed",
"product_identification_helper": {
"cpe": "cpe:/a:hcltech:bigfix:pm__84"
}
}
},
{
"category": "product_version",
"name": "WebUI",
"product": {
"name": "HCL BigFix WebUI",
"product_id": "T036098",
"product_identification_helper": {
"cpe": "cpe:/a:hcltech:bigfix:webui"
}
}
},
{
"category": "product_version",
"name": "Server Automation",
"product": {
"name": "HCL BigFix Server Automation",
"product_id": "T039915",
"product_identification_helper": {
"cpe": "cpe:/a:hcltech:bigfix:server_automation"
}
}
}
],
"category": "product_name",
"name": "BigFix"
}
],
"category": "vendor",
"name": "HCL"
}
]
},
"vulnerabilities": [
{
"cve": "CVE-2024-33883",
"notes": [
{
"category": "description",
"text": "Es besteht eine Schwachstelle in HCL BigFix WebUI-Sites. Diese Fehler besteht, weil die eingebetteten JavaScript-Vorlagen aufgrund des Fehlens eines bestimmten Verschmutzungsschutzes anf\u00e4llig sind. Ein entfernter, anonymer Angreifer kann diese Schwachstelle ausnutzen, um vertrauliche Informationen preiszugeben, Dateien zu manipulieren und einen Denial-of-Service-Zustand zu erzeugen."
}
],
"product_status": {
"known_affected": [
"T036096",
"T036097",
"T039915",
"T023767",
"T036098"
]
},
"release_date": "2024-07-10T22:00:00.000+00:00",
"title": "CVE-2024-33883"
},
{
"cve": "CVE-2023-42282",
"notes": [
{
"category": "description",
"text": "Es bestehen mehrere Schwachstellen in HCL BigFix Query. Diese Fehler bestehen aufgrund einer unsachgem\u00e4\u00dfen Kategorisierung bestimmter IP-Adressen in Node.js und aufgrund einer unsachgem\u00e4\u00dfen Kodierung der vom Benutzer bereitgestellten URLs im Express.js-Framework. Ein entfernter, anonymer Angreifer kann diese Schwachstellen ausnutzen, um Sicherheitsma\u00dfnahmen zu umgehen"
}
],
"product_status": {
"known_affected": [
"T036096",
"T039915",
"T023767"
]
},
"release_date": "2024-07-10T22:00:00.000+00:00",
"title": "CVE-2023-42282"
},
{
"cve": "CVE-2024-29041",
"notes": [
{
"category": "description",
"text": "Es bestehen mehrere Schwachstellen in HCL BigFix Query. Diese Fehler bestehen aufgrund einer unsachgem\u00e4\u00dfen Kategorisierung bestimmter IP-Adressen in Node.js und aufgrund einer unsachgem\u00e4\u00dfen Kodierung der vom Benutzer bereitgestellten URLs im Express.js-Framework. Ein entfernter, anonymer Angreifer kann diese Schwachstellen ausnutzen, um Sicherheitsma\u00dfnahmen zu umgehen"
}
],
"product_status": {
"known_affected": [
"T036096",
"T039915",
"T023767"
]
},
"release_date": "2024-07-10T22:00:00.000+00:00",
"title": "CVE-2024-29041"
},
{
"cve": "CVE-2021-43306",
"notes": [
{
"category": "description",
"text": "Es besteht eine Schwachstelle in HCL BigFix Power Management. Diese Fehler besteht aufgrund der unsachgem\u00e4\u00dfen Eingabevalidierung im jQuery Validation Plugin. Ein entfernter, anonymer Angreifer kann diese Schwachstelle ausnutzen, um einen Regular Expression Denial of Service (ReDoS) zu erzeugen, indem er eine beliebige Eingabe an die url2-Methode sendet. Die Sicherheitsl\u00fccke CVE-2022-31147 besteht aufgrund der unvollst\u00e4ndigen Behebung von CVE-2021-43306."
}
],
"product_status": {
"known_affected": [
"T036096",
"T036097",
"T039915",
"T023767",
"T036098"
]
},
"release_date": "2024-07-10T22:00:00.000+00:00",
"title": "CVE-2021-43306"
},
{
"cve": "CVE-2022-31147",
"notes": [
{
"category": "description",
"text": "Es besteht eine Schwachstelle in HCL BigFix Power Management. Diese Fehler besteht aufgrund der unsachgem\u00e4\u00dfen Eingabevalidierung im jQuery Validation Plugin. Ein entfernter, anonymer Angreifer kann diese Schwachstelle ausnutzen, um einen Regular Expression Denial of Service (ReDoS) zu erzeugen, indem er eine beliebige Eingabe an die url2-Methode sendet. Die Sicherheitsl\u00fccke CVE-2022-31147 besteht aufgrund der unvollst\u00e4ndigen Behebung von CVE-2021-43306."
}
],
"product_status": {
"known_affected": [
"T036096",
"T036097",
"T039915",
"T023767",
"T036098"
]
},
"release_date": "2024-07-10T22:00:00.000+00:00",
"title": "CVE-2022-31147"
}
]
}
WID-SEC-W-2024-2036
Vulnerability from csaf_certbund - Published: 2024-09-03 22:00 - Updated: 2025-11-18 23:00Summary
Red Hat OpenShift: Mehrere Schwachstellen ermöglichen Umgehen von Sicherheitsvorkehrungen
Severity
Mittel
Notes
Das BSI ist als Anbieter für die eigenen, zur Nutzung bereitgestellten Inhalte nach den allgemeinen Gesetzen verantwortlich. Nutzerinnen und Nutzer sind jedoch dafür verantwortlich, die Verwendung und/oder die Umsetzung der mit den Inhalten bereitgestellten Informationen sorgfältig im Einzelfall zu prüfen.
Produktbeschreibung: Red Hat OpenShift ist eine "Platform as a Service" (PaaS) Lösung zur Bereitstellung von Applikationen in der Cloud.
Angriff: Ein entfernter anonymer Angreifer kann mehrere Schwachstellen in Red Hat OpenShift ausnutzen, um Sicherheitsmaßnahmen zu umgehen, vertrauliche Informationen offenzulegen oder einen Denial-of-Service-Zustand zu erzeugen.
Betroffene Betriebssysteme: - Linux
Affected products
Known affected
12 products
| Product | Identifier | Version | Remediation |
|---|---|---|---|
|
Red Hat OpenShift Data Foundation 4
Red Hat / OpenShift
|
cpe:/a:redhat:openshift:data_foundation_4
|
Data Foundation 4 | |
|
Red Hat OpenShift CodeReady Workspaces
Red Hat / OpenShift
|
cpe:/a:redhat:openshift:codeready_workspaces
|
CodeReady Workspaces | |
|
Red Hat OpenShift Container Platform <4.17.4
Red Hat / OpenShift
|
Container Platform <4.17.4 | ||
|
Red Hat Enterprise Linux
Red Hat
|
cpe:/o:redhat:enterprise_linux:-
|
— | |
|
Red Hat OpenShift Data Foundation <4.17.7
Red Hat / OpenShift
|
Data Foundation <4.17.7 | ||
|
Red Hat OpenShift Data Foundation <4.14.18
Red Hat / OpenShift
|
Data Foundation <4.14.18 | ||
|
Red Hat OpenShift Data Foundation <4.14.11
Red Hat / OpenShift
|
Data Foundation <4.14.11 | ||
|
Atlassian Bitbucket <9.4.13 (LTS)
Atlassian / Bitbucket
|
<9.4.13 (LTS) | ||
|
Fedora Linux
Fedora
|
cpe:/o:fedoraproject:fedora:-
|
— | |
|
Atlassian Bitbucket <8.19.25 (LTS)
Atlassian / Bitbucket
|
<8.19.25 (LTS) | ||
|
Red Hat OpenShift Service Mesh Containers <2.6.1
Red Hat / OpenShift
|
Service Mesh Containers <2.6.1 | ||
|
Atlassian Bitbucket <10.0.2
Atlassian / Bitbucket
|
<10.0.2 |
Affected products
Known affected
12 products
| Product | Identifier | Version | Remediation |
|---|---|---|---|
|
Red Hat OpenShift Data Foundation 4
Red Hat / OpenShift
|
cpe:/a:redhat:openshift:data_foundation_4
|
Data Foundation 4 | |
|
Red Hat OpenShift CodeReady Workspaces
Red Hat / OpenShift
|
cpe:/a:redhat:openshift:codeready_workspaces
|
CodeReady Workspaces | |
|
Red Hat OpenShift Container Platform <4.17.4
Red Hat / OpenShift
|
Container Platform <4.17.4 | ||
|
Red Hat Enterprise Linux
Red Hat
|
cpe:/o:redhat:enterprise_linux:-
|
— | |
|
Red Hat OpenShift Data Foundation <4.17.7
Red Hat / OpenShift
|
Data Foundation <4.17.7 | ||
|
Red Hat OpenShift Data Foundation <4.14.18
Red Hat / OpenShift
|
Data Foundation <4.14.18 | ||
|
Red Hat OpenShift Data Foundation <4.14.11
Red Hat / OpenShift
|
Data Foundation <4.14.11 | ||
|
Atlassian Bitbucket <9.4.13 (LTS)
Atlassian / Bitbucket
|
<9.4.13 (LTS) | ||
|
Fedora Linux
Fedora
|
cpe:/o:fedoraproject:fedora:-
|
— | |
|
Atlassian Bitbucket <8.19.25 (LTS)
Atlassian / Bitbucket
|
<8.19.25 (LTS) | ||
|
Red Hat OpenShift Service Mesh Containers <2.6.1
Red Hat / OpenShift
|
Service Mesh Containers <2.6.1 | ||
|
Atlassian Bitbucket <10.0.2
Atlassian / Bitbucket
|
<10.0.2 |
Affected products
Known affected
12 products
| Product | Identifier | Version | Remediation |
|---|---|---|---|
|
Red Hat OpenShift Data Foundation 4
Red Hat / OpenShift
|
cpe:/a:redhat:openshift:data_foundation_4
|
Data Foundation 4 | |
|
Red Hat OpenShift CodeReady Workspaces
Red Hat / OpenShift
|
cpe:/a:redhat:openshift:codeready_workspaces
|
CodeReady Workspaces | |
|
Red Hat OpenShift Container Platform <4.17.4
Red Hat / OpenShift
|
Container Platform <4.17.4 | ||
|
Red Hat Enterprise Linux
Red Hat
|
cpe:/o:redhat:enterprise_linux:-
|
— | |
|
Red Hat OpenShift Data Foundation <4.17.7
Red Hat / OpenShift
|
Data Foundation <4.17.7 | ||
|
Red Hat OpenShift Data Foundation <4.14.18
Red Hat / OpenShift
|
Data Foundation <4.14.18 | ||
|
Red Hat OpenShift Data Foundation <4.14.11
Red Hat / OpenShift
|
Data Foundation <4.14.11 | ||
|
Atlassian Bitbucket <9.4.13 (LTS)
Atlassian / Bitbucket
|
<9.4.13 (LTS) | ||
|
Fedora Linux
Fedora
|
cpe:/o:fedoraproject:fedora:-
|
— | |
|
Atlassian Bitbucket <8.19.25 (LTS)
Atlassian / Bitbucket
|
<8.19.25 (LTS) | ||
|
Red Hat OpenShift Service Mesh Containers <2.6.1
Red Hat / OpenShift
|
Service Mesh Containers <2.6.1 | ||
|
Atlassian Bitbucket <10.0.2
Atlassian / Bitbucket
|
<10.0.2 |
Affected products
Known affected
12 products
| Product | Identifier | Version | Remediation |
|---|---|---|---|
|
Red Hat OpenShift Data Foundation 4
Red Hat / OpenShift
|
cpe:/a:redhat:openshift:data_foundation_4
|
Data Foundation 4 | |
|
Red Hat OpenShift CodeReady Workspaces
Red Hat / OpenShift
|
cpe:/a:redhat:openshift:codeready_workspaces
|
CodeReady Workspaces | |
|
Red Hat OpenShift Container Platform <4.17.4
Red Hat / OpenShift
|
Container Platform <4.17.4 | ||
|
Red Hat Enterprise Linux
Red Hat
|
cpe:/o:redhat:enterprise_linux:-
|
— | |
|
Red Hat OpenShift Data Foundation <4.17.7
Red Hat / OpenShift
|
Data Foundation <4.17.7 | ||
|
Red Hat OpenShift Data Foundation <4.14.18
Red Hat / OpenShift
|
Data Foundation <4.14.18 | ||
|
Red Hat OpenShift Data Foundation <4.14.11
Red Hat / OpenShift
|
Data Foundation <4.14.11 | ||
|
Atlassian Bitbucket <9.4.13 (LTS)
Atlassian / Bitbucket
|
<9.4.13 (LTS) | ||
|
Fedora Linux
Fedora
|
cpe:/o:fedoraproject:fedora:-
|
— | |
|
Atlassian Bitbucket <8.19.25 (LTS)
Atlassian / Bitbucket
|
<8.19.25 (LTS) | ||
|
Red Hat OpenShift Service Mesh Containers <2.6.1
Red Hat / OpenShift
|
Service Mesh Containers <2.6.1 | ||
|
Atlassian Bitbucket <10.0.2
Atlassian / Bitbucket
|
<10.0.2 |
References
22 references
{
"document": {
"aggregate_severity": {
"text": "mittel"
},
"category": "csaf_base",
"csaf_version": "2.0",
"distribution": {
"tlp": {
"label": "WHITE",
"url": "https://www.first.org/tlp/"
}
},
"lang": "de-DE",
"notes": [
{
"category": "legal_disclaimer",
"text": "Das BSI ist als Anbieter f\u00fcr die eigenen, zur Nutzung bereitgestellten Inhalte nach den allgemeinen Gesetzen verantwortlich. Nutzerinnen und Nutzer sind jedoch daf\u00fcr verantwortlich, die Verwendung und/oder die Umsetzung der mit den Inhalten bereitgestellten Informationen sorgf\u00e4ltig im Einzelfall zu pr\u00fcfen."
},
{
"category": "description",
"text": "Red Hat OpenShift ist eine \"Platform as a Service\" (PaaS) L\u00f6sung zur Bereitstellung von Applikationen in der Cloud.",
"title": "Produktbeschreibung"
},
{
"category": "summary",
"text": "Ein entfernter anonymer Angreifer kann mehrere Schwachstellen in Red Hat OpenShift ausnutzen, um Sicherheitsma\u00dfnahmen zu umgehen, vertrauliche Informationen offenzulegen oder einen Denial-of-Service-Zustand zu erzeugen.",
"title": "Angriff"
},
{
"category": "general",
"text": "- Linux",
"title": "Betroffene Betriebssysteme"
}
],
"publisher": {
"category": "other",
"contact_details": "csaf-provider@cert-bund.de",
"name": "Bundesamt f\u00fcr Sicherheit in der Informationstechnik",
"namespace": "https://www.bsi.bund.de"
},
"references": [
{
"category": "self",
"summary": "WID-SEC-W-2024-2036 - CSAF Version",
"url": "https://wid.cert-bund.de/.well-known/csaf/white/2024/wid-sec-w-2024-2036.json"
},
{
"category": "self",
"summary": "WID-SEC-2024-2036 - Portal Version",
"url": "https://wid.cert-bund.de/portal/wid/securityadvisory?name=WID-SEC-2024-2036"
},
{
"category": "external",
"summary": "RedHat Security Advisory vom 2024-09-03",
"url": "https://access.redhat.com/errata/RHSA-2024:6211"
},
{
"category": "external",
"summary": "Red Hat Security Advisory RHSA-2024:6210 vom 2024-09-03",
"url": "https://rhn.redhat.com/errata/RHSA-2024:6210.html"
},
{
"category": "external",
"summary": "Red Hat Security Advisory RHSA-2024:6667 vom 2024-09-13",
"url": "https://access.redhat.com/errata/RHSA-2024:6667"
},
{
"category": "external",
"summary": "Red Hat Security Advisory RHSA-2024:7164 vom 2024-09-26",
"url": "https://access.redhat.com/errata/RHSA-2024:7164"
},
{
"category": "external",
"summary": "Red Hat Security Advisory RHSA-2024:7624 vom 2024-10-03",
"url": "https://access.redhat.com/errata/RHSA-2024:7624"
},
{
"category": "external",
"summary": "Red Hat Security Advisory RHSA-2024:8023 vom 2024-10-14",
"url": "https://access.redhat.com/errata/RHSA-2024:8023"
},
{
"category": "external",
"summary": "Red Hat Security Advisory RHSA-2024:8076 vom 2024-10-14",
"url": "https://access.redhat.com/errata/RHSA-2024:8076"
},
{
"category": "external",
"summary": "Red Hat Security Advisory RHSA-2024:8075 vom 2024-10-14",
"url": "https://access.redhat.com/errata/RHSA-2024:8075"
},
{
"category": "external",
"summary": "Red Hat Security Advisory RHSA-2024:8080 vom 2024-10-14",
"url": "https://access.redhat.com/errata/RHSA-2024:8080"
},
{
"category": "external",
"summary": "Red Hat Security Advisory RHSA-2024:8077 vom 2024-10-14",
"url": "https://access.redhat.com/errata/RHSA-2024:8077"
},
{
"category": "external",
"summary": "Fedora Security Advisory FEDORA-EPEL-2024-78DF19AAF3 vom 2024-10-15",
"url": "https://bodhi.fedoraproject.org/updates/FEDORA-EPEL-2024-78df19aaf3"
},
{
"category": "external",
"summary": "Red Hat Security Advisory RHSA-2024:8906 vom 2024-11-05",
"url": "https://access.redhat.com/errata/RHSA-2024:8906"
},
{
"category": "external",
"summary": "Red Hat Security Advisory RHSA-2024:8981 vom 2024-11-13",
"url": "https://access.redhat.com/errata/RHSA-2024:8981"
},
{
"category": "external",
"summary": "Red Hat Security Advisory RHSA-2024:10775 vom 2024-12-04",
"url": "https://access.redhat.com/errata/RHSA-2024:10775"
},
{
"category": "external",
"summary": "Red Hat Security Advisory RHSA-2024:11023 vom 2024-12-12",
"url": "https://access.redhat.com/errata/RHSA-2024:11023"
},
{
"category": "external",
"summary": "Red Hat Security Advisory RHSA-2025:4511 vom 2025-05-06",
"url": "https://access.redhat.com/errata/RHSA-2025:4511"
},
{
"category": "external",
"summary": "Red Hat Security Advisory RHSA-2025:8059 vom 2025-05-21",
"url": "https://access.redhat.com/errata/RHSA-2025:8059"
},
{
"category": "external",
"summary": "Red Hat Security Advisory RHSA-2025:8479 vom 2025-06-04",
"url": "https://access.redhat.com/errata/RHSA-2025:8479"
},
{
"category": "external",
"summary": "Red Hat Security Advisory RHSA-2025:8551 vom 2025-06-05",
"url": "https://access.redhat.com/errata/RHSA-2025:8551"
},
{
"category": "external",
"summary": "Atlassian Security Bulletin - November 18 2025",
"url": "https://confluence.atlassian.com/security/security-bulletin-november-18-2025-1671463469.html"
}
],
"source_lang": "en-US",
"title": "Red Hat OpenShift: Mehrere Schwachstellen erm\u00f6glichen Umgehen von Sicherheitsvorkehrungen",
"tracking": {
"current_release_date": "2025-11-18T23:00:00.000+00:00",
"generator": {
"date": "2025-11-19T09:42:51.957+00:00",
"engine": {
"name": "BSI-WID",
"version": "1.5.0"
}
},
"id": "WID-SEC-W-2024-2036",
"initial_release_date": "2024-09-03T22:00:00.000+00:00",
"revision_history": [
{
"date": "2024-09-03T22:00:00.000+00:00",
"number": "1",
"summary": "Initiale Fassung"
},
{
"date": "2024-09-12T22:00:00.000+00:00",
"number": "2",
"summary": "Neue Updates von Red Hat aufgenommen"
},
{
"date": "2024-09-25T22:00:00.000+00:00",
"number": "3",
"summary": "Neue Updates von Red Hat aufgenommen"
},
{
"date": "2024-10-03T22:00:00.000+00:00",
"number": "4",
"summary": "Neue Updates von Red Hat aufgenommen"
},
{
"date": "2024-10-13T22:00:00.000+00:00",
"number": "5",
"summary": "Neue Updates von Red Hat aufgenommen"
},
{
"date": "2024-10-14T22:00:00.000+00:00",
"number": "6",
"summary": "Neue Updates von Red Hat aufgenommen"
},
{
"date": "2024-10-15T22:00:00.000+00:00",
"number": "7",
"summary": "Neue Updates von Fedora aufgenommen"
},
{
"date": "2024-11-05T23:00:00.000+00:00",
"number": "8",
"summary": "Neue Updates von Red Hat aufgenommen"
},
{
"date": "2024-11-12T23:00:00.000+00:00",
"number": "9",
"summary": "Neue Updates von Red Hat aufgenommen"
},
{
"date": "2024-12-03T23:00:00.000+00:00",
"number": "10",
"summary": "Neue Updates von Red Hat aufgenommen"
},
{
"date": "2024-12-12T23:00:00.000+00:00",
"number": "11",
"summary": "Neue Updates von Red Hat aufgenommen"
},
{
"date": "2025-05-05T22:00:00.000+00:00",
"number": "12",
"summary": "Neue Updates von Red Hat aufgenommen"
},
{
"date": "2025-05-20T22:00:00.000+00:00",
"number": "13",
"summary": "Neue Updates von Red Hat aufgenommen"
},
{
"date": "2025-06-03T22:00:00.000+00:00",
"number": "14",
"summary": "Neue Updates von Red Hat aufgenommen"
},
{
"date": "2025-06-04T22:00:00.000+00:00",
"number": "15",
"summary": "Neue Updates von Red Hat aufgenommen"
},
{
"date": "2025-11-18T23:00:00.000+00:00",
"number": "16",
"summary": "Neue Updates aufgenommen"
}
],
"status": "final",
"version": "16"
}
},
"product_tree": {
"branches": [
{
"branches": [
{
"branches": [
{
"category": "product_version_range",
"name": "\u003c10.0.2",
"product": {
"name": "Atlassian Bitbucket \u003c10.0.2",
"product_id": "T048675"
}
},
{
"category": "product_version",
"name": "10.0.2",
"product": {
"name": "Atlassian Bitbucket 10.0.2",
"product_id": "T048675-fixed",
"product_identification_helper": {
"cpe": "cpe:/a:atlassian:bitbucket:10.0.2"
}
}
},
{
"category": "product_version_range",
"name": "\u003c8.19.25 (LTS)",
"product": {
"name": "Atlassian Bitbucket \u003c8.19.25 (LTS)",
"product_id": "T048676"
}
},
{
"category": "product_version",
"name": "8.19.25 (LTS)",
"product": {
"name": "Atlassian Bitbucket 8.19.25 (LTS)",
"product_id": "T048676-fixed",
"product_identification_helper": {
"cpe": "cpe:/a:atlassian:bitbucket:8.19.25_%28lts%29"
}
}
},
{
"category": "product_version_range",
"name": "\u003c9.4.13 (LTS)",
"product": {
"name": "Atlassian Bitbucket \u003c9.4.13 (LTS)",
"product_id": "T048677"
}
},
{
"category": "product_version",
"name": "9.4.13 (LTS)",
"product": {
"name": "Atlassian Bitbucket 9.4.13 (LTS)",
"product_id": "T048677-fixed",
"product_identification_helper": {
"cpe": "cpe:/a:atlassian:bitbucket:9.4.13_%28lts%29"
}
}
}
],
"category": "product_name",
"name": "Bitbucket"
}
],
"category": "vendor",
"name": "Atlassian"
},
{
"branches": [
{
"category": "product_name",
"name": "Fedora Linux",
"product": {
"name": "Fedora Linux",
"product_id": "74185",
"product_identification_helper": {
"cpe": "cpe:/o:fedoraproject:fedora:-"
}
}
}
],
"category": "vendor",
"name": "Fedora"
},
{
"branches": [
{
"category": "product_name",
"name": "Red Hat Enterprise Linux",
"product": {
"name": "Red Hat Enterprise Linux",
"product_id": "67646",
"product_identification_helper": {
"cpe": "cpe:/o:redhat:enterprise_linux:-"
}
}
},
{
"branches": [
{
"category": "product_version",
"name": "Data Foundation 4",
"product": {
"name": "Red Hat OpenShift Data Foundation 4",
"product_id": "T028133",
"product_identification_helper": {
"cpe": "cpe:/a:redhat:openshift:data_foundation_4"
}
}
},
{
"category": "product_version_range",
"name": "Service Mesh Containers \u003c2.6.1",
"product": {
"name": "Red Hat OpenShift Service Mesh Containers \u003c2.6.1",
"product_id": "T037234"
}
},
{
"category": "product_version",
"name": "Service Mesh Containers 2.6.1",
"product": {
"name": "Red Hat OpenShift Service Mesh Containers 2.6.1",
"product_id": "T037234-fixed",
"product_identification_helper": {
"cpe": "cpe:/a:redhat:openshift:service_mesh_containers__2.6.1"
}
}
},
{
"category": "product_version",
"name": "CodeReady Workspaces",
"product": {
"name": "Red Hat OpenShift CodeReady Workspaces",
"product_id": "T037618",
"product_identification_helper": {
"cpe": "cpe:/a:redhat:openshift:codeready_workspaces"
}
}
},
{
"category": "product_version_range",
"name": "Data Foundation \u003c4.14.11",
"product": {
"name": "Red Hat OpenShift Data Foundation \u003c4.14.11",
"product_id": "T037941"
}
},
{
"category": "product_version",
"name": "Data Foundation 4.14.11",
"product": {
"name": "Red Hat OpenShift Data Foundation 4.14.11",
"product_id": "T037941-fixed",
"product_identification_helper": {
"cpe": "cpe:/a:redhat:openshift:data_foundation__4.14.11"
}
}
},
{
"category": "product_version_range",
"name": "Container Platform \u003c4.17.4",
"product": {
"name": "Red Hat OpenShift Container Platform \u003c4.17.4",
"product_id": "T038989"
}
},
{
"category": "product_version",
"name": "Container Platform 4.17.4",
"product": {
"name": "Red Hat OpenShift Container Platform 4.17.4",
"product_id": "T038989-fixed",
"product_identification_helper": {
"cpe": "cpe:/a:redhat:openshift:container_platform__4.17.4"
}
}
},
{
"category": "product_version_range",
"name": "Data Foundation \u003c4.17.7",
"product": {
"name": "Red Hat OpenShift Data Foundation \u003c4.17.7",
"product_id": "T044019"
}
},
{
"category": "product_version",
"name": "Data Foundation 4.17.7",
"product": {
"name": "Red Hat OpenShift Data Foundation 4.17.7",
"product_id": "T044019-fixed",
"product_identification_helper": {
"cpe": "cpe:/a:redhat:openshift:data_foundation__4.17.7"
}
}
},
{
"category": "product_version_range",
"name": "Data Foundation \u003c4.14.18",
"product": {
"name": "Red Hat OpenShift Data Foundation \u003c4.14.18",
"product_id": "T044338"
}
},
{
"category": "product_version",
"name": "Data Foundation 4.14.18",
"product": {
"name": "Red Hat OpenShift Data Foundation 4.14.18",
"product_id": "T044338-fixed",
"product_identification_helper": {
"cpe": "cpe:/a:redhat:openshift:data_foundation__4.14.18"
}
}
}
],
"category": "product_name",
"name": "OpenShift"
}
],
"category": "vendor",
"name": "Red Hat"
}
]
},
"vulnerabilities": [
{
"cve": "CVE-2024-29041",
"product_status": {
"known_affected": [
"T028133",
"T037618",
"T038989",
"67646",
"T044019",
"T044338",
"T037941",
"T048677",
"74185",
"T048676",
"T037234",
"T048675"
]
},
"release_date": "2024-09-03T22:00:00.000+00:00",
"title": "CVE-2024-29041"
},
{
"cve": "CVE-2024-39338",
"product_status": {
"known_affected": [
"T028133",
"T037618",
"T038989",
"67646",
"T044019",
"T044338",
"T037941",
"T048677",
"74185",
"T048676",
"T037234",
"T048675"
]
},
"release_date": "2024-09-03T22:00:00.000+00:00",
"title": "CVE-2024-39338"
},
{
"cve": "CVE-2024-4067",
"product_status": {
"known_affected": [
"T028133",
"T037618",
"T038989",
"67646",
"T044019",
"T044338",
"T037941",
"T048677",
"74185",
"T048676",
"T037234",
"T048675"
]
},
"release_date": "2024-09-03T22:00:00.000+00:00",
"title": "CVE-2024-4067"
},
{
"cve": "CVE-2024-4068",
"product_status": {
"known_affected": [
"T028133",
"T037618",
"T038989",
"67646",
"T044019",
"T044338",
"T037941",
"T048677",
"74185",
"T048676",
"T037234",
"T048675"
]
},
"release_date": "2024-09-03T22:00:00.000+00:00",
"title": "CVE-2024-4068"
}
]
}
WID-SEC-W-2025-0010
Vulnerability from csaf_certbund - Published: 2025-01-05 23:00 - Updated: 2025-01-05 23:00Summary
HCL BigFix Server Automation: Mehrere Schwachstellen
Severity
Mittel
Notes
Das BSI ist als Anbieter für die eigenen, zur Nutzung bereitgestellten Inhalte nach den allgemeinen Gesetzen verantwortlich. Nutzerinnen und Nutzer sind jedoch dafür verantwortlich, die Verwendung und/oder die Umsetzung der mit den Inhalten bereitgestellten Informationen sorgfältig im Einzelfall zu prüfen.
Produktbeschreibung: BigFix ist eine Lösung zum Erkennen und Verwalten von physischen und virtuellen Endpunkten.
Angriff: Ein entfernter, anonymer Angreifer kann mehrere Schwachstellen in HCL BigFix Server Automation ausnutzen, um Dateien zu manipulieren, vertrauliche Informationen preiszugeben und Phishing-Angriffe durchzuführen.
Betroffene Betriebssysteme: - Sonstiges
- UNIX
- Windows
Es besteht eine Schwachstelle in HCL BigFix Server Automation. Die Schwachstelle besteht in der follow-redirects Bibliothek aufgrund einer unsachgemäßen Eingabevalidierung bei der Behandlung von URLs. Ein entfernter, anonymer Angreifer kann diese Schwachstelle ausnutzen, um die Hostnamen über speziell gestaltete Eingaben zu manipulieren, wenn "new URL()" fehlschlägt. Dadurch kann der Datenverkehr auf bösartige Websites umgeleitet werden, was zu Phishing-Angriffen, der Offenlegung von Informationen oder anderen Sicherheitsverletzungen führen kann. Eine erfolgreiche Ausnutzung erfordert eine Benutzerinteraktion, das Opfer muss dem manipulierten Link folgen.
Affected products
Known affected
1 product
| Product | Identifier | Version | Remediation |
|---|---|---|---|
|
HCL BigFix Server Automation <9.5.70
HCL / BigFix
|
Server Automation <9.5.70 |
Es besteht eine Schwachstelle in HCL BigFix Server Automation. Der Fehler besteht aufgrund der unsachgemäßen Löschung des Proxy-Authentifizierungs-Headers bei domänenübergreifenden Umleitungen im Paket follow-redirects, was zur Preisgabe von Anmeldeinformationen führt. Ein anonymer, entfernter Angreifer kann diese Schwachstelle ausnutzen, um vertrauliche Informationen preiszugeben.
Affected products
Known affected
1 product
| Product | Identifier | Version | Remediation |
|---|---|---|---|
|
HCL BigFix Server Automation <9.5.70
HCL / BigFix
|
Server Automation <9.5.70 |
Es besteht eine Schwachstelle in HCL BigFix Server Automation. Diese Schwachstelle besteht aufgrund einer offenen Redirect-Schwachstelle in Express.js, die auf eine fehlerhafte URL-Behandlung zurückzuführen ist, die eine ordnungsgemäß implementierte Genehmigungsliste umgeht. Ein entfernter, anonymer Angreifer kann diese Schwachstelle ausnutzen, um einen Phishing-Angriff durchzuführen.
Affected products
Known affected
1 product
| Product | Identifier | Version | Remediation |
|---|---|---|---|
|
HCL BigFix Server Automation <9.5.70
HCL / BigFix
|
Server Automation <9.5.70 |
References
3 references
{
"document": {
"aggregate_severity": {
"text": "mittel"
},
"category": "csaf_base",
"csaf_version": "2.0",
"distribution": {
"tlp": {
"label": "WHITE",
"url": "https://www.first.org/tlp/"
}
},
"lang": "de-DE",
"notes": [
{
"category": "legal_disclaimer",
"text": "Das BSI ist als Anbieter f\u00fcr die eigenen, zur Nutzung bereitgestellten Inhalte nach den allgemeinen Gesetzen verantwortlich. Nutzerinnen und Nutzer sind jedoch daf\u00fcr verantwortlich, die Verwendung und/oder die Umsetzung der mit den Inhalten bereitgestellten Informationen sorgf\u00e4ltig im Einzelfall zu pr\u00fcfen."
},
{
"category": "description",
"text": "BigFix ist eine L\u00f6sung zum Erkennen und Verwalten von physischen und virtuellen Endpunkten.",
"title": "Produktbeschreibung"
},
{
"category": "summary",
"text": "Ein entfernter, anonymer Angreifer kann mehrere Schwachstellen in HCL BigFix Server Automation ausnutzen, um Dateien zu manipulieren, vertrauliche Informationen preiszugeben und Phishing-Angriffe durchzuf\u00fchren.",
"title": "Angriff"
},
{
"category": "general",
"text": "- Sonstiges\n- UNIX\n- Windows",
"title": "Betroffene Betriebssysteme"
}
],
"publisher": {
"category": "other",
"contact_details": "csaf-provider@cert-bund.de",
"name": "Bundesamt f\u00fcr Sicherheit in der Informationstechnik",
"namespace": "https://www.bsi.bund.de"
},
"references": [
{
"category": "self",
"summary": "WID-SEC-W-2025-0010 - CSAF Version",
"url": "https://wid.cert-bund.de/.well-known/csaf/white/2025/wid-sec-w-2025-0010.json"
},
{
"category": "self",
"summary": "WID-SEC-2025-0010 - Portal Version",
"url": "https://wid.cert-bund.de/portal/wid/securityadvisory?name=WID-SEC-2025-0010"
},
{
"category": "external",
"summary": "HCL Security Bulletin vom 2025-01-05",
"url": "https://support.hcl-software.com/csm?id=kb_article\u0026sysparm_article=KB0118216"
}
],
"source_lang": "en-US",
"title": "HCL BigFix Server Automation: Mehrere Schwachstellen",
"tracking": {
"current_release_date": "2025-01-05T23:00:00.000+00:00",
"generator": {
"date": "2025-01-06T10:32:20.257+00:00",
"engine": {
"name": "BSI-WID",
"version": "1.3.10"
}
},
"id": "WID-SEC-W-2025-0010",
"initial_release_date": "2025-01-05T23:00:00.000+00:00",
"revision_history": [
{
"date": "2025-01-05T23:00:00.000+00:00",
"number": "1",
"summary": "Initiale Fassung"
}
],
"status": "final",
"version": "1"
}
},
"product_tree": {
"branches": [
{
"branches": [
{
"branches": [
{
"category": "product_version_range",
"name": "Server Automation \u003c9.5.70",
"product": {
"name": "HCL BigFix Server Automation \u003c9.5.70",
"product_id": "T040006"
}
},
{
"category": "product_version",
"name": "Server Automation 9.5.70",
"product": {
"name": "HCL BigFix Server Automation 9.5.70",
"product_id": "T040006-fixed",
"product_identification_helper": {
"cpe": "cpe:/a:hcltech:bigfix:server_automation___9.5.70"
}
}
}
],
"category": "product_name",
"name": "BigFix"
}
],
"category": "vendor",
"name": "HCL"
}
]
},
"vulnerabilities": [
{
"cve": "CVE-2023-26159",
"notes": [
{
"category": "description",
"text": "Es besteht eine Schwachstelle in HCL BigFix Server Automation. Die Schwachstelle besteht in der follow-redirects Bibliothek aufgrund einer unsachgem\u00e4\u00dfen Eingabevalidierung bei der Behandlung von URLs. Ein entfernter, anonymer Angreifer kann diese Schwachstelle ausnutzen, um die Hostnamen \u00fcber speziell gestaltete Eingaben zu manipulieren, wenn \"new URL()\" fehlschl\u00e4gt. Dadurch kann der Datenverkehr auf b\u00f6sartige Websites umgeleitet werden, was zu Phishing-Angriffen, der Offenlegung von Informationen oder anderen Sicherheitsverletzungen f\u00fchren kann. Eine erfolgreiche Ausnutzung erfordert eine Benutzerinteraktion, das Opfer muss dem manipulierten Link folgen."
}
],
"product_status": {
"known_affected": [
"T040006"
]
},
"release_date": "2025-01-05T23:00:00.000+00:00",
"title": "CVE-2023-26159"
},
{
"cve": "CVE-2024-28849",
"notes": [
{
"category": "description",
"text": "Es besteht eine Schwachstelle in HCL BigFix Server Automation. Der Fehler besteht aufgrund der unsachgem\u00e4\u00dfen L\u00f6schung des Proxy-Authentifizierungs-Headers bei dom\u00e4nen\u00fcbergreifenden Umleitungen im Paket follow-redirects, was zur Preisgabe von Anmeldeinformationen f\u00fchrt. Ein anonymer, entfernter Angreifer kann diese Schwachstelle ausnutzen, um vertrauliche Informationen preiszugeben."
}
],
"product_status": {
"known_affected": [
"T040006"
]
},
"release_date": "2025-01-05T23:00:00.000+00:00",
"title": "CVE-2024-28849"
},
{
"cve": "CVE-2024-29041",
"notes": [
{
"category": "description",
"text": "Es besteht eine Schwachstelle in HCL BigFix Server Automation. Diese Schwachstelle besteht aufgrund einer offenen Redirect-Schwachstelle in Express.js, die auf eine fehlerhafte URL-Behandlung zur\u00fcckzuf\u00fchren ist, die eine ordnungsgem\u00e4\u00df implementierte Genehmigungsliste umgeht. Ein entfernter, anonymer Angreifer kann diese Schwachstelle ausnutzen, um einen Phishing-Angriff durchzuf\u00fchren."
}
],
"product_status": {
"known_affected": [
"T040006"
]
},
"release_date": "2025-01-05T23:00:00.000+00:00",
"title": "CVE-2024-29041"
}
]
}
WID-SEC-W-2025-0168
Vulnerability from csaf_certbund - Published: 2025-01-21 23:00 - Updated: 2025-01-21 23:00Summary
Oracle JD Edwards: Mehrere Schwachstellen
Severity
Hoch
Notes
Das BSI ist als Anbieter für die eigenen, zur Nutzung bereitgestellten Inhalte nach den allgemeinen Gesetzen verantwortlich. Nutzerinnen und Nutzer sind jedoch dafür verantwortlich, die Verwendung und/oder die Umsetzung der mit den Inhalten bereitgestellten Informationen sorgfältig im Einzelfall zu prüfen.
Produktbeschreibung: Die Komponenten der Oracle JDEdwards sind vollständig integrierte und komplette Lösungen geschäftlicher Anwendungen (ERP) für Unternehmen.
Angriff: Ein entfernter, anonymer oder authentisierter Angreifer kann mehrere Schwachstellen in Oracle JD Edwards ausnutzen, um die Vertraulichkeit, Integrität und Verfügbarkeit zu gefährden.
Betroffene Betriebssysteme: - Linux
- Sonstiges
- UNIX
- Windows
In Oracle JD Edwards existieren mehrere Schwachstellen. Durch Ausnutzung dieser Schwachstellen kann ein entfernter, anonymer oder authentisierter Angreifer die Vertraulichkeit, Integrität und Verfügbarkeit gefährden. Für die Ausnutzung einiger dieser Schwachstellen ist keine Benutzerinteraktion notwendig. Oracle veröffentlicht keine weiteren Details zu diesen Schwachstellen (außer der Information in der Risiko Matrix im Oracle Advisory zum Critical Patch Update, siehe Link unten in diesem Advisory). Aufgrund der knappen Informationslage erfolgt die Bewertung der Schadenshöhe ausschließlich auf Basis der CVSS Impact Matrix. Der Maximalwert für diese Produkte ist "HIGH" für "Confidentiality", "Integrity" und "Availability" über alle Schwachstellen aggregiert und bewirkt damit eine Bewertung mit dem Wert "HOCH" für die Schadenshöhe.
Affected products
Known affected
2 products
| Product | Identifier | Version | Remediation |
|---|---|---|---|
|
Oracle JD Edwards <9.2.9.2
Oracle / JD Edwards
|
<9.2.9.2 | ||
|
Oracle JD Edwards <9.2.9.0
Oracle / JD Edwards
|
<9.2.9.0 |
In Oracle JD Edwards existieren mehrere Schwachstellen. Durch Ausnutzung dieser Schwachstellen kann ein entfernter, anonymer oder authentisierter Angreifer die Vertraulichkeit, Integrität und Verfügbarkeit gefährden. Für die Ausnutzung einiger dieser Schwachstellen ist keine Benutzerinteraktion notwendig. Oracle veröffentlicht keine weiteren Details zu diesen Schwachstellen (außer der Information in der Risiko Matrix im Oracle Advisory zum Critical Patch Update, siehe Link unten in diesem Advisory). Aufgrund der knappen Informationslage erfolgt die Bewertung der Schadenshöhe ausschließlich auf Basis der CVSS Impact Matrix. Der Maximalwert für diese Produkte ist "HIGH" für "Confidentiality", "Integrity" und "Availability" über alle Schwachstellen aggregiert und bewirkt damit eine Bewertung mit dem Wert "HOCH" für die Schadenshöhe.
Affected products
Known affected
2 products
| Product | Identifier | Version | Remediation |
|---|---|---|---|
|
Oracle JD Edwards <9.2.9.2
Oracle / JD Edwards
|
<9.2.9.2 | ||
|
Oracle JD Edwards <9.2.9.0
Oracle / JD Edwards
|
<9.2.9.0 |
In Oracle JD Edwards existieren mehrere Schwachstellen. Durch Ausnutzung dieser Schwachstellen kann ein entfernter, anonymer oder authentisierter Angreifer die Vertraulichkeit, Integrität und Verfügbarkeit gefährden. Für die Ausnutzung einiger dieser Schwachstellen ist keine Benutzerinteraktion notwendig. Oracle veröffentlicht keine weiteren Details zu diesen Schwachstellen (außer der Information in der Risiko Matrix im Oracle Advisory zum Critical Patch Update, siehe Link unten in diesem Advisory). Aufgrund der knappen Informationslage erfolgt die Bewertung der Schadenshöhe ausschließlich auf Basis der CVSS Impact Matrix. Der Maximalwert für diese Produkte ist "HIGH" für "Confidentiality", "Integrity" und "Availability" über alle Schwachstellen aggregiert und bewirkt damit eine Bewertung mit dem Wert "HOCH" für die Schadenshöhe.
Affected products
Known affected
2 products
| Product | Identifier | Version | Remediation |
|---|---|---|---|
|
Oracle JD Edwards <9.2.9.2
Oracle / JD Edwards
|
<9.2.9.2 | ||
|
Oracle JD Edwards <9.2.9.0
Oracle / JD Edwards
|
<9.2.9.0 |
In Oracle JD Edwards existieren mehrere Schwachstellen. Durch Ausnutzung dieser Schwachstellen kann ein entfernter, anonymer oder authentisierter Angreifer die Vertraulichkeit, Integrität und Verfügbarkeit gefährden. Für die Ausnutzung einiger dieser Schwachstellen ist keine Benutzerinteraktion notwendig. Oracle veröffentlicht keine weiteren Details zu diesen Schwachstellen (außer der Information in der Risiko Matrix im Oracle Advisory zum Critical Patch Update, siehe Link unten in diesem Advisory). Aufgrund der knappen Informationslage erfolgt die Bewertung der Schadenshöhe ausschließlich auf Basis der CVSS Impact Matrix. Der Maximalwert für diese Produkte ist "HIGH" für "Confidentiality", "Integrity" und "Availability" über alle Schwachstellen aggregiert und bewirkt damit eine Bewertung mit dem Wert "HOCH" für die Schadenshöhe.
Affected products
Known affected
2 products
| Product | Identifier | Version | Remediation |
|---|---|---|---|
|
Oracle JD Edwards <9.2.9.2
Oracle / JD Edwards
|
<9.2.9.2 | ||
|
Oracle JD Edwards <9.2.9.0
Oracle / JD Edwards
|
<9.2.9.0 |
In Oracle JD Edwards existieren mehrere Schwachstellen. Durch Ausnutzung dieser Schwachstellen kann ein entfernter, anonymer oder authentisierter Angreifer die Vertraulichkeit, Integrität und Verfügbarkeit gefährden. Für die Ausnutzung einiger dieser Schwachstellen ist keine Benutzerinteraktion notwendig. Oracle veröffentlicht keine weiteren Details zu diesen Schwachstellen (außer der Information in der Risiko Matrix im Oracle Advisory zum Critical Patch Update, siehe Link unten in diesem Advisory). Aufgrund der knappen Informationslage erfolgt die Bewertung der Schadenshöhe ausschließlich auf Basis der CVSS Impact Matrix. Der Maximalwert für diese Produkte ist "HIGH" für "Confidentiality", "Integrity" und "Availability" über alle Schwachstellen aggregiert und bewirkt damit eine Bewertung mit dem Wert "HOCH" für die Schadenshöhe.
Affected products
Known affected
2 products
| Product | Identifier | Version | Remediation |
|---|---|---|---|
|
Oracle JD Edwards <9.2.9.2
Oracle / JD Edwards
|
<9.2.9.2 | ||
|
Oracle JD Edwards <9.2.9.0
Oracle / JD Edwards
|
<9.2.9.0 |
In Oracle JD Edwards existieren mehrere Schwachstellen. Durch Ausnutzung dieser Schwachstellen kann ein entfernter, anonymer oder authentisierter Angreifer die Vertraulichkeit, Integrität und Verfügbarkeit gefährden. Für die Ausnutzung einiger dieser Schwachstellen ist keine Benutzerinteraktion notwendig. Oracle veröffentlicht keine weiteren Details zu diesen Schwachstellen (außer der Information in der Risiko Matrix im Oracle Advisory zum Critical Patch Update, siehe Link unten in diesem Advisory). Aufgrund der knappen Informationslage erfolgt die Bewertung der Schadenshöhe ausschließlich auf Basis der CVSS Impact Matrix. Der Maximalwert für diese Produkte ist "HIGH" für "Confidentiality", "Integrity" und "Availability" über alle Schwachstellen aggregiert und bewirkt damit eine Bewertung mit dem Wert "HOCH" für die Schadenshöhe.
Affected products
Known affected
2 products
| Product | Identifier | Version | Remediation |
|---|---|---|---|
|
Oracle JD Edwards <9.2.9.2
Oracle / JD Edwards
|
<9.2.9.2 | ||
|
Oracle JD Edwards <9.2.9.0
Oracle / JD Edwards
|
<9.2.9.0 |
In Oracle JD Edwards existieren mehrere Schwachstellen. Durch Ausnutzung dieser Schwachstellen kann ein entfernter, anonymer oder authentisierter Angreifer die Vertraulichkeit, Integrität und Verfügbarkeit gefährden. Für die Ausnutzung einiger dieser Schwachstellen ist keine Benutzerinteraktion notwendig. Oracle veröffentlicht keine weiteren Details zu diesen Schwachstellen (außer der Information in der Risiko Matrix im Oracle Advisory zum Critical Patch Update, siehe Link unten in diesem Advisory). Aufgrund der knappen Informationslage erfolgt die Bewertung der Schadenshöhe ausschließlich auf Basis der CVSS Impact Matrix. Der Maximalwert für diese Produkte ist "HIGH" für "Confidentiality", "Integrity" und "Availability" über alle Schwachstellen aggregiert und bewirkt damit eine Bewertung mit dem Wert "HOCH" für die Schadenshöhe.
Affected products
Known affected
2 products
| Product | Identifier | Version | Remediation |
|---|---|---|---|
|
Oracle JD Edwards <9.2.9.2
Oracle / JD Edwards
|
<9.2.9.2 | ||
|
Oracle JD Edwards <9.2.9.0
Oracle / JD Edwards
|
<9.2.9.0 |
In Oracle JD Edwards existieren mehrere Schwachstellen. Durch Ausnutzung dieser Schwachstellen kann ein entfernter, anonymer oder authentisierter Angreifer die Vertraulichkeit, Integrität und Verfügbarkeit gefährden. Für die Ausnutzung einiger dieser Schwachstellen ist keine Benutzerinteraktion notwendig. Oracle veröffentlicht keine weiteren Details zu diesen Schwachstellen (außer der Information in der Risiko Matrix im Oracle Advisory zum Critical Patch Update, siehe Link unten in diesem Advisory). Aufgrund der knappen Informationslage erfolgt die Bewertung der Schadenshöhe ausschließlich auf Basis der CVSS Impact Matrix. Der Maximalwert für diese Produkte ist "HIGH" für "Confidentiality", "Integrity" und "Availability" über alle Schwachstellen aggregiert und bewirkt damit eine Bewertung mit dem Wert "HOCH" für die Schadenshöhe.
Affected products
Known affected
2 products
| Product | Identifier | Version | Remediation |
|---|---|---|---|
|
Oracle JD Edwards <9.2.9.2
Oracle / JD Edwards
|
<9.2.9.2 | ||
|
Oracle JD Edwards <9.2.9.0
Oracle / JD Edwards
|
<9.2.9.0 |
In Oracle JD Edwards existieren mehrere Schwachstellen. Durch Ausnutzung dieser Schwachstellen kann ein entfernter, anonymer oder authentisierter Angreifer die Vertraulichkeit, Integrität und Verfügbarkeit gefährden. Für die Ausnutzung einiger dieser Schwachstellen ist keine Benutzerinteraktion notwendig. Oracle veröffentlicht keine weiteren Details zu diesen Schwachstellen (außer der Information in der Risiko Matrix im Oracle Advisory zum Critical Patch Update, siehe Link unten in diesem Advisory). Aufgrund der knappen Informationslage erfolgt die Bewertung der Schadenshöhe ausschließlich auf Basis der CVSS Impact Matrix. Der Maximalwert für diese Produkte ist "HIGH" für "Confidentiality", "Integrity" und "Availability" über alle Schwachstellen aggregiert und bewirkt damit eine Bewertung mit dem Wert "HOCH" für die Schadenshöhe.
Affected products
Known affected
2 products
| Product | Identifier | Version | Remediation |
|---|---|---|---|
|
Oracle JD Edwards <9.2.9.2
Oracle / JD Edwards
|
<9.2.9.2 | ||
|
Oracle JD Edwards <9.2.9.0
Oracle / JD Edwards
|
<9.2.9.0 |
In Oracle JD Edwards existieren mehrere Schwachstellen. Durch Ausnutzung dieser Schwachstellen kann ein entfernter, anonymer oder authentisierter Angreifer die Vertraulichkeit, Integrität und Verfügbarkeit gefährden. Für die Ausnutzung einiger dieser Schwachstellen ist keine Benutzerinteraktion notwendig. Oracle veröffentlicht keine weiteren Details zu diesen Schwachstellen (außer der Information in der Risiko Matrix im Oracle Advisory zum Critical Patch Update, siehe Link unten in diesem Advisory). Aufgrund der knappen Informationslage erfolgt die Bewertung der Schadenshöhe ausschließlich auf Basis der CVSS Impact Matrix. Der Maximalwert für diese Produkte ist "HIGH" für "Confidentiality", "Integrity" und "Availability" über alle Schwachstellen aggregiert und bewirkt damit eine Bewertung mit dem Wert "HOCH" für die Schadenshöhe.
Affected products
Known affected
2 products
| Product | Identifier | Version | Remediation |
|---|---|---|---|
|
Oracle JD Edwards <9.2.9.2
Oracle / JD Edwards
|
<9.2.9.2 | ||
|
Oracle JD Edwards <9.2.9.0
Oracle / JD Edwards
|
<9.2.9.0 |
In Oracle JD Edwards existieren mehrere Schwachstellen. Durch Ausnutzung dieser Schwachstellen kann ein entfernter, anonymer oder authentisierter Angreifer die Vertraulichkeit, Integrität und Verfügbarkeit gefährden. Für die Ausnutzung einiger dieser Schwachstellen ist keine Benutzerinteraktion notwendig. Oracle veröffentlicht keine weiteren Details zu diesen Schwachstellen (außer der Information in der Risiko Matrix im Oracle Advisory zum Critical Patch Update, siehe Link unten in diesem Advisory). Aufgrund der knappen Informationslage erfolgt die Bewertung der Schadenshöhe ausschließlich auf Basis der CVSS Impact Matrix. Der Maximalwert für diese Produkte ist "HIGH" für "Confidentiality", "Integrity" und "Availability" über alle Schwachstellen aggregiert und bewirkt damit eine Bewertung mit dem Wert "HOCH" für die Schadenshöhe.
Affected products
Known affected
2 products
| Product | Identifier | Version | Remediation |
|---|---|---|---|
|
Oracle JD Edwards <9.2.9.2
Oracle / JD Edwards
|
<9.2.9.2 | ||
|
Oracle JD Edwards <9.2.9.0
Oracle / JD Edwards
|
<9.2.9.0 |
In Oracle JD Edwards existieren mehrere Schwachstellen. Durch Ausnutzung dieser Schwachstellen kann ein entfernter, anonymer oder authentisierter Angreifer die Vertraulichkeit, Integrität und Verfügbarkeit gefährden. Für die Ausnutzung einiger dieser Schwachstellen ist keine Benutzerinteraktion notwendig. Oracle veröffentlicht keine weiteren Details zu diesen Schwachstellen (außer der Information in der Risiko Matrix im Oracle Advisory zum Critical Patch Update, siehe Link unten in diesem Advisory). Aufgrund der knappen Informationslage erfolgt die Bewertung der Schadenshöhe ausschließlich auf Basis der CVSS Impact Matrix. Der Maximalwert für diese Produkte ist "HIGH" für "Confidentiality", "Integrity" und "Availability" über alle Schwachstellen aggregiert und bewirkt damit eine Bewertung mit dem Wert "HOCH" für die Schadenshöhe.
Affected products
Known affected
2 products
| Product | Identifier | Version | Remediation |
|---|---|---|---|
|
Oracle JD Edwards <9.2.9.2
Oracle / JD Edwards
|
<9.2.9.2 | ||
|
Oracle JD Edwards <9.2.9.0
Oracle / JD Edwards
|
<9.2.9.0 |
In Oracle JD Edwards existieren mehrere Schwachstellen. Durch Ausnutzung dieser Schwachstellen kann ein entfernter, anonymer oder authentisierter Angreifer die Vertraulichkeit, Integrität und Verfügbarkeit gefährden. Für die Ausnutzung einiger dieser Schwachstellen ist keine Benutzerinteraktion notwendig. Oracle veröffentlicht keine weiteren Details zu diesen Schwachstellen (außer der Information in der Risiko Matrix im Oracle Advisory zum Critical Patch Update, siehe Link unten in diesem Advisory). Aufgrund der knappen Informationslage erfolgt die Bewertung der Schadenshöhe ausschließlich auf Basis der CVSS Impact Matrix. Der Maximalwert für diese Produkte ist "HIGH" für "Confidentiality", "Integrity" und "Availability" über alle Schwachstellen aggregiert und bewirkt damit eine Bewertung mit dem Wert "HOCH" für die Schadenshöhe.
Affected products
Known affected
2 products
| Product | Identifier | Version | Remediation |
|---|---|---|---|
|
Oracle JD Edwards <9.2.9.2
Oracle / JD Edwards
|
<9.2.9.2 | ||
|
Oracle JD Edwards <9.2.9.0
Oracle / JD Edwards
|
<9.2.9.0 |
In Oracle JD Edwards existieren mehrere Schwachstellen. Durch Ausnutzung dieser Schwachstellen kann ein entfernter, anonymer oder authentisierter Angreifer die Vertraulichkeit, Integrität und Verfügbarkeit gefährden. Für die Ausnutzung einiger dieser Schwachstellen ist keine Benutzerinteraktion notwendig. Oracle veröffentlicht keine weiteren Details zu diesen Schwachstellen (außer der Information in der Risiko Matrix im Oracle Advisory zum Critical Patch Update, siehe Link unten in diesem Advisory). Aufgrund der knappen Informationslage erfolgt die Bewertung der Schadenshöhe ausschließlich auf Basis der CVSS Impact Matrix. Der Maximalwert für diese Produkte ist "HIGH" für "Confidentiality", "Integrity" und "Availability" über alle Schwachstellen aggregiert und bewirkt damit eine Bewertung mit dem Wert "HOCH" für die Schadenshöhe.
Affected products
Known affected
2 products
| Product | Identifier | Version | Remediation |
|---|---|---|---|
|
Oracle JD Edwards <9.2.9.2
Oracle / JD Edwards
|
<9.2.9.2 | ||
|
Oracle JD Edwards <9.2.9.0
Oracle / JD Edwards
|
<9.2.9.0 |
In Oracle JD Edwards existieren mehrere Schwachstellen. Durch Ausnutzung dieser Schwachstellen kann ein entfernter, anonymer oder authentisierter Angreifer die Vertraulichkeit, Integrität und Verfügbarkeit gefährden. Für die Ausnutzung einiger dieser Schwachstellen ist keine Benutzerinteraktion notwendig. Oracle veröffentlicht keine weiteren Details zu diesen Schwachstellen (außer der Information in der Risiko Matrix im Oracle Advisory zum Critical Patch Update, siehe Link unten in diesem Advisory). Aufgrund der knappen Informationslage erfolgt die Bewertung der Schadenshöhe ausschließlich auf Basis der CVSS Impact Matrix. Der Maximalwert für diese Produkte ist "HIGH" für "Confidentiality", "Integrity" und "Availability" über alle Schwachstellen aggregiert und bewirkt damit eine Bewertung mit dem Wert "HOCH" für die Schadenshöhe.
Affected products
Known affected
2 products
| Product | Identifier | Version | Remediation |
|---|---|---|---|
|
Oracle JD Edwards <9.2.9.2
Oracle / JD Edwards
|
<9.2.9.2 | ||
|
Oracle JD Edwards <9.2.9.0
Oracle / JD Edwards
|
<9.2.9.0 |
In Oracle JD Edwards existieren mehrere Schwachstellen. Durch Ausnutzung dieser Schwachstellen kann ein entfernter, anonymer oder authentisierter Angreifer die Vertraulichkeit, Integrität und Verfügbarkeit gefährden. Für die Ausnutzung einiger dieser Schwachstellen ist keine Benutzerinteraktion notwendig. Oracle veröffentlicht keine weiteren Details zu diesen Schwachstellen (außer der Information in der Risiko Matrix im Oracle Advisory zum Critical Patch Update, siehe Link unten in diesem Advisory). Aufgrund der knappen Informationslage erfolgt die Bewertung der Schadenshöhe ausschließlich auf Basis der CVSS Impact Matrix. Der Maximalwert für diese Produkte ist "HIGH" für "Confidentiality", "Integrity" und "Availability" über alle Schwachstellen aggregiert und bewirkt damit eine Bewertung mit dem Wert "HOCH" für die Schadenshöhe.
Affected products
Known affected
2 products
| Product | Identifier | Version | Remediation |
|---|---|---|---|
|
Oracle JD Edwards <9.2.9.2
Oracle / JD Edwards
|
<9.2.9.2 | ||
|
Oracle JD Edwards <9.2.9.0
Oracle / JD Edwards
|
<9.2.9.0 |
In Oracle JD Edwards existieren mehrere Schwachstellen. Durch Ausnutzung dieser Schwachstellen kann ein entfernter, anonymer oder authentisierter Angreifer die Vertraulichkeit, Integrität und Verfügbarkeit gefährden. Für die Ausnutzung einiger dieser Schwachstellen ist keine Benutzerinteraktion notwendig. Oracle veröffentlicht keine weiteren Details zu diesen Schwachstellen (außer der Information in der Risiko Matrix im Oracle Advisory zum Critical Patch Update, siehe Link unten in diesem Advisory). Aufgrund der knappen Informationslage erfolgt die Bewertung der Schadenshöhe ausschließlich auf Basis der CVSS Impact Matrix. Der Maximalwert für diese Produkte ist "HIGH" für "Confidentiality", "Integrity" und "Availability" über alle Schwachstellen aggregiert und bewirkt damit eine Bewertung mit dem Wert "HOCH" für die Schadenshöhe.
Affected products
Known affected
2 products
| Product | Identifier | Version | Remediation |
|---|---|---|---|
|
Oracle JD Edwards <9.2.9.2
Oracle / JD Edwards
|
<9.2.9.2 | ||
|
Oracle JD Edwards <9.2.9.0
Oracle / JD Edwards
|
<9.2.9.0 |
In Oracle JD Edwards existieren mehrere Schwachstellen. Durch Ausnutzung dieser Schwachstellen kann ein entfernter, anonymer oder authentisierter Angreifer die Vertraulichkeit, Integrität und Verfügbarkeit gefährden. Für die Ausnutzung einiger dieser Schwachstellen ist keine Benutzerinteraktion notwendig. Oracle veröffentlicht keine weiteren Details zu diesen Schwachstellen (außer der Information in der Risiko Matrix im Oracle Advisory zum Critical Patch Update, siehe Link unten in diesem Advisory). Aufgrund der knappen Informationslage erfolgt die Bewertung der Schadenshöhe ausschließlich auf Basis der CVSS Impact Matrix. Der Maximalwert für diese Produkte ist "HIGH" für "Confidentiality", "Integrity" und "Availability" über alle Schwachstellen aggregiert und bewirkt damit eine Bewertung mit dem Wert "HOCH" für die Schadenshöhe.
Affected products
Known affected
2 products
| Product | Identifier | Version | Remediation |
|---|---|---|---|
|
Oracle JD Edwards <9.2.9.2
Oracle / JD Edwards
|
<9.2.9.2 | ||
|
Oracle JD Edwards <9.2.9.0
Oracle / JD Edwards
|
<9.2.9.0 |
In Oracle JD Edwards existieren mehrere Schwachstellen. Durch Ausnutzung dieser Schwachstellen kann ein entfernter, anonymer oder authentisierter Angreifer die Vertraulichkeit, Integrität und Verfügbarkeit gefährden. Für die Ausnutzung einiger dieser Schwachstellen ist keine Benutzerinteraktion notwendig. Oracle veröffentlicht keine weiteren Details zu diesen Schwachstellen (außer der Information in der Risiko Matrix im Oracle Advisory zum Critical Patch Update, siehe Link unten in diesem Advisory). Aufgrund der knappen Informationslage erfolgt die Bewertung der Schadenshöhe ausschließlich auf Basis der CVSS Impact Matrix. Der Maximalwert für diese Produkte ist "HIGH" für "Confidentiality", "Integrity" und "Availability" über alle Schwachstellen aggregiert und bewirkt damit eine Bewertung mit dem Wert "HOCH" für die Schadenshöhe.
Affected products
Known affected
2 products
| Product | Identifier | Version | Remediation |
|---|---|---|---|
|
Oracle JD Edwards <9.2.9.2
Oracle / JD Edwards
|
<9.2.9.2 | ||
|
Oracle JD Edwards <9.2.9.0
Oracle / JD Edwards
|
<9.2.9.0 |
In Oracle JD Edwards existieren mehrere Schwachstellen. Durch Ausnutzung dieser Schwachstellen kann ein entfernter, anonymer oder authentisierter Angreifer die Vertraulichkeit, Integrität und Verfügbarkeit gefährden. Für die Ausnutzung einiger dieser Schwachstellen ist keine Benutzerinteraktion notwendig. Oracle veröffentlicht keine weiteren Details zu diesen Schwachstellen (außer der Information in der Risiko Matrix im Oracle Advisory zum Critical Patch Update, siehe Link unten in diesem Advisory). Aufgrund der knappen Informationslage erfolgt die Bewertung der Schadenshöhe ausschließlich auf Basis der CVSS Impact Matrix. Der Maximalwert für diese Produkte ist "HIGH" für "Confidentiality", "Integrity" und "Availability" über alle Schwachstellen aggregiert und bewirkt damit eine Bewertung mit dem Wert "HOCH" für die Schadenshöhe.
Affected products
Known affected
2 products
| Product | Identifier | Version | Remediation |
|---|---|---|---|
|
Oracle JD Edwards <9.2.9.2
Oracle / JD Edwards
|
<9.2.9.2 | ||
|
Oracle JD Edwards <9.2.9.0
Oracle / JD Edwards
|
<9.2.9.0 |
In Oracle JD Edwards existieren mehrere Schwachstellen. Durch Ausnutzung dieser Schwachstellen kann ein entfernter, anonymer oder authentisierter Angreifer die Vertraulichkeit, Integrität und Verfügbarkeit gefährden. Für die Ausnutzung einiger dieser Schwachstellen ist keine Benutzerinteraktion notwendig. Oracle veröffentlicht keine weiteren Details zu diesen Schwachstellen (außer der Information in der Risiko Matrix im Oracle Advisory zum Critical Patch Update, siehe Link unten in diesem Advisory). Aufgrund der knappen Informationslage erfolgt die Bewertung der Schadenshöhe ausschließlich auf Basis der CVSS Impact Matrix. Der Maximalwert für diese Produkte ist "HIGH" für "Confidentiality", "Integrity" und "Availability" über alle Schwachstellen aggregiert und bewirkt damit eine Bewertung mit dem Wert "HOCH" für die Schadenshöhe.
Affected products
Known affected
2 products
| Product | Identifier | Version | Remediation |
|---|---|---|---|
|
Oracle JD Edwards <9.2.9.2
Oracle / JD Edwards
|
<9.2.9.2 | ||
|
Oracle JD Edwards <9.2.9.0
Oracle / JD Edwards
|
<9.2.9.0 |
In Oracle JD Edwards existieren mehrere Schwachstellen. Durch Ausnutzung dieser Schwachstellen kann ein entfernter, anonymer oder authentisierter Angreifer die Vertraulichkeit, Integrität und Verfügbarkeit gefährden. Für die Ausnutzung einiger dieser Schwachstellen ist keine Benutzerinteraktion notwendig. Oracle veröffentlicht keine weiteren Details zu diesen Schwachstellen (außer der Information in der Risiko Matrix im Oracle Advisory zum Critical Patch Update, siehe Link unten in diesem Advisory). Aufgrund der knappen Informationslage erfolgt die Bewertung der Schadenshöhe ausschließlich auf Basis der CVSS Impact Matrix. Der Maximalwert für diese Produkte ist "HIGH" für "Confidentiality", "Integrity" und "Availability" über alle Schwachstellen aggregiert und bewirkt damit eine Bewertung mit dem Wert "HOCH" für die Schadenshöhe.
Affected products
Known affected
2 products
| Product | Identifier | Version | Remediation |
|---|---|---|---|
|
Oracle JD Edwards <9.2.9.2
Oracle / JD Edwards
|
<9.2.9.2 | ||
|
Oracle JD Edwards <9.2.9.0
Oracle / JD Edwards
|
<9.2.9.0 |
In Oracle JD Edwards existieren mehrere Schwachstellen. Durch Ausnutzung dieser Schwachstellen kann ein entfernter, anonymer oder authentisierter Angreifer die Vertraulichkeit, Integrität und Verfügbarkeit gefährden. Für die Ausnutzung einiger dieser Schwachstellen ist keine Benutzerinteraktion notwendig. Oracle veröffentlicht keine weiteren Details zu diesen Schwachstellen (außer der Information in der Risiko Matrix im Oracle Advisory zum Critical Patch Update, siehe Link unten in diesem Advisory). Aufgrund der knappen Informationslage erfolgt die Bewertung der Schadenshöhe ausschließlich auf Basis der CVSS Impact Matrix. Der Maximalwert für diese Produkte ist "HIGH" für "Confidentiality", "Integrity" und "Availability" über alle Schwachstellen aggregiert und bewirkt damit eine Bewertung mit dem Wert "HOCH" für die Schadenshöhe.
Affected products
Known affected
2 products
| Product | Identifier | Version | Remediation |
|---|---|---|---|
|
Oracle JD Edwards <9.2.9.2
Oracle / JD Edwards
|
<9.2.9.2 | ||
|
Oracle JD Edwards <9.2.9.0
Oracle / JD Edwards
|
<9.2.9.0 |
References
3 references
{
"document": {
"aggregate_severity": {
"text": "hoch"
},
"category": "csaf_base",
"csaf_version": "2.0",
"distribution": {
"tlp": {
"label": "WHITE",
"url": "https://www.first.org/tlp/"
}
},
"lang": "de-DE",
"notes": [
{
"category": "legal_disclaimer",
"text": "Das BSI ist als Anbieter f\u00fcr die eigenen, zur Nutzung bereitgestellten Inhalte nach den allgemeinen Gesetzen verantwortlich. Nutzerinnen und Nutzer sind jedoch daf\u00fcr verantwortlich, die Verwendung und/oder die Umsetzung der mit den Inhalten bereitgestellten Informationen sorgf\u00e4ltig im Einzelfall zu pr\u00fcfen."
},
{
"category": "description",
"text": "Die Komponenten der Oracle JDEdwards sind vollst\u00e4ndig integrierte und komplette L\u00f6sungen gesch\u00e4ftlicher Anwendungen (ERP) f\u00fcr Unternehmen.",
"title": "Produktbeschreibung"
},
{
"category": "summary",
"text": "Ein entfernter, anonymer oder authentisierter Angreifer kann mehrere Schwachstellen in Oracle JD Edwards ausnutzen, um die Vertraulichkeit, Integrit\u00e4t und Verf\u00fcgbarkeit zu gef\u00e4hrden.",
"title": "Angriff"
},
{
"category": "general",
"text": "- Linux\n- Sonstiges\n- UNIX\n- Windows",
"title": "Betroffene Betriebssysteme"
}
],
"publisher": {
"category": "other",
"contact_details": "csaf-provider@cert-bund.de",
"name": "Bundesamt f\u00fcr Sicherheit in der Informationstechnik",
"namespace": "https://www.bsi.bund.de"
},
"references": [
{
"category": "self",
"summary": "WID-SEC-W-2025-0168 - CSAF Version",
"url": "https://wid.cert-bund.de/.well-known/csaf/white/2025/wid-sec-w-2025-0168.json"
},
{
"category": "self",
"summary": "WID-SEC-2025-0168 - Portal Version",
"url": "https://wid.cert-bund.de/portal/wid/securityadvisory?name=WID-SEC-2025-0168"
},
{
"category": "external",
"summary": "Oracle Critical Patch Update Advisory - January 2025 - Appendix Oracle JD Edwards vom 2025-01-21",
"url": "https://www.oracle.com/security-alerts/cpujan2025.html#AppendixJDE"
}
],
"source_lang": "en-US",
"title": "Oracle JD Edwards: Mehrere Schwachstellen",
"tracking": {
"current_release_date": "2025-01-21T23:00:00.000+00:00",
"generator": {
"date": "2025-01-22T12:43:53.020+00:00",
"engine": {
"name": "BSI-WID",
"version": "1.3.10"
}
},
"id": "WID-SEC-W-2025-0168",
"initial_release_date": "2025-01-21T23:00:00.000+00:00",
"revision_history": [
{
"date": "2025-01-21T23:00:00.000+00:00",
"number": "1",
"summary": "Initiale Fassung"
}
],
"status": "final",
"version": "1"
}
},
"product_tree": {
"branches": [
{
"branches": [
{
"branches": [
{
"category": "product_version_range",
"name": "\u003c9.2.9.0",
"product": {
"name": "Oracle JD Edwards \u003c9.2.9.0",
"product_id": "T040474"
}
},
{
"category": "product_version",
"name": "9.2.9.0",
"product": {
"name": "Oracle JD Edwards 9.2.9.0",
"product_id": "T040474-fixed",
"product_identification_helper": {
"cpe": "cpe:/a:oracle:jd_edwards_enterpriseone:9.2.9.0"
}
}
},
{
"category": "product_version_range",
"name": "\u003c9.2.9.2",
"product": {
"name": "Oracle JD Edwards \u003c9.2.9.2",
"product_id": "T040475"
}
},
{
"category": "product_version",
"name": "9.2.9.2",
"product": {
"name": "Oracle JD Edwards 9.2.9.2",
"product_id": "T040475-fixed",
"product_identification_helper": {
"cpe": "cpe:/a:oracle:jd_edwards_enterpriseone:9.2.9.2"
}
}
}
],
"category": "product_name",
"name": "JD Edwards"
}
],
"category": "vendor",
"name": "Oracle"
}
]
},
"vulnerabilities": [
{
"cve": "CVE-2023-2976",
"notes": [
{
"category": "description",
"text": "In Oracle JD Edwards existieren mehrere Schwachstellen. Durch Ausnutzung dieser Schwachstellen kann ein entfernter, anonymer oder authentisierter Angreifer die Vertraulichkeit, Integrit\u00e4t und Verf\u00fcgbarkeit gef\u00e4hrden. F\u00fcr die Ausnutzung einiger dieser Schwachstellen ist keine Benutzerinteraktion notwendig. Oracle ver\u00f6ffentlicht keine weiteren Details zu diesen Schwachstellen (au\u00dfer der Information in der Risiko Matrix im Oracle Advisory zum Critical Patch Update, siehe Link unten in diesem Advisory). Aufgrund der knappen Informationslage erfolgt die Bewertung der Schadensh\u00f6he ausschlie\u00dflich auf Basis der CVSS Impact Matrix. Der Maximalwert f\u00fcr diese Produkte ist \"HIGH\" f\u00fcr \"Confidentiality\", \"Integrity\" und \"Availability\" \u00fcber alle Schwachstellen aggregiert und bewirkt damit eine Bewertung mit dem Wert \"HOCH\" f\u00fcr die Schadensh\u00f6he."
}
],
"product_status": {
"known_affected": [
"T040475",
"T040474"
]
},
"release_date": "2025-01-21T23:00:00.000+00:00",
"title": "CVE-2023-2976"
},
{
"cve": "CVE-2023-3961",
"notes": [
{
"category": "description",
"text": "In Oracle JD Edwards existieren mehrere Schwachstellen. Durch Ausnutzung dieser Schwachstellen kann ein entfernter, anonymer oder authentisierter Angreifer die Vertraulichkeit, Integrit\u00e4t und Verf\u00fcgbarkeit gef\u00e4hrden. F\u00fcr die Ausnutzung einiger dieser Schwachstellen ist keine Benutzerinteraktion notwendig. Oracle ver\u00f6ffentlicht keine weiteren Details zu diesen Schwachstellen (au\u00dfer der Information in der Risiko Matrix im Oracle Advisory zum Critical Patch Update, siehe Link unten in diesem Advisory). Aufgrund der knappen Informationslage erfolgt die Bewertung der Schadensh\u00f6he ausschlie\u00dflich auf Basis der CVSS Impact Matrix. Der Maximalwert f\u00fcr diese Produkte ist \"HIGH\" f\u00fcr \"Confidentiality\", \"Integrity\" und \"Availability\" \u00fcber alle Schwachstellen aggregiert und bewirkt damit eine Bewertung mit dem Wert \"HOCH\" f\u00fcr die Schadensh\u00f6he."
}
],
"product_status": {
"known_affected": [
"T040475",
"T040474"
]
},
"release_date": "2025-01-21T23:00:00.000+00:00",
"title": "CVE-2023-3961"
},
{
"cve": "CVE-2023-4782",
"notes": [
{
"category": "description",
"text": "In Oracle JD Edwards existieren mehrere Schwachstellen. Durch Ausnutzung dieser Schwachstellen kann ein entfernter, anonymer oder authentisierter Angreifer die Vertraulichkeit, Integrit\u00e4t und Verf\u00fcgbarkeit gef\u00e4hrden. F\u00fcr die Ausnutzung einiger dieser Schwachstellen ist keine Benutzerinteraktion notwendig. Oracle ver\u00f6ffentlicht keine weiteren Details zu diesen Schwachstellen (au\u00dfer der Information in der Risiko Matrix im Oracle Advisory zum Critical Patch Update, siehe Link unten in diesem Advisory). Aufgrund der knappen Informationslage erfolgt die Bewertung der Schadensh\u00f6he ausschlie\u00dflich auf Basis der CVSS Impact Matrix. Der Maximalwert f\u00fcr diese Produkte ist \"HIGH\" f\u00fcr \"Confidentiality\", \"Integrity\" und \"Availability\" \u00fcber alle Schwachstellen aggregiert und bewirkt damit eine Bewertung mit dem Wert \"HOCH\" f\u00fcr die Schadensh\u00f6he."
}
],
"product_status": {
"known_affected": [
"T040475",
"T040474"
]
},
"release_date": "2025-01-21T23:00:00.000+00:00",
"title": "CVE-2023-4782"
},
{
"cve": "CVE-2023-48795",
"notes": [
{
"category": "description",
"text": "In Oracle JD Edwards existieren mehrere Schwachstellen. Durch Ausnutzung dieser Schwachstellen kann ein entfernter, anonymer oder authentisierter Angreifer die Vertraulichkeit, Integrit\u00e4t und Verf\u00fcgbarkeit gef\u00e4hrden. F\u00fcr die Ausnutzung einiger dieser Schwachstellen ist keine Benutzerinteraktion notwendig. Oracle ver\u00f6ffentlicht keine weiteren Details zu diesen Schwachstellen (au\u00dfer der Information in der Risiko Matrix im Oracle Advisory zum Critical Patch Update, siehe Link unten in diesem Advisory). Aufgrund der knappen Informationslage erfolgt die Bewertung der Schadensh\u00f6he ausschlie\u00dflich auf Basis der CVSS Impact Matrix. Der Maximalwert f\u00fcr diese Produkte ist \"HIGH\" f\u00fcr \"Confidentiality\", \"Integrity\" und \"Availability\" \u00fcber alle Schwachstellen aggregiert und bewirkt damit eine Bewertung mit dem Wert \"HOCH\" f\u00fcr die Schadensh\u00f6he."
}
],
"product_status": {
"known_affected": [
"T040475",
"T040474"
]
},
"release_date": "2025-01-21T23:00:00.000+00:00",
"title": "CVE-2023-48795"
},
{
"cve": "CVE-2023-6129",
"notes": [
{
"category": "description",
"text": "In Oracle JD Edwards existieren mehrere Schwachstellen. Durch Ausnutzung dieser Schwachstellen kann ein entfernter, anonymer oder authentisierter Angreifer die Vertraulichkeit, Integrit\u00e4t und Verf\u00fcgbarkeit gef\u00e4hrden. F\u00fcr die Ausnutzung einiger dieser Schwachstellen ist keine Benutzerinteraktion notwendig. Oracle ver\u00f6ffentlicht keine weiteren Details zu diesen Schwachstellen (au\u00dfer der Information in der Risiko Matrix im Oracle Advisory zum Critical Patch Update, siehe Link unten in diesem Advisory). Aufgrund der knappen Informationslage erfolgt die Bewertung der Schadensh\u00f6he ausschlie\u00dflich auf Basis der CVSS Impact Matrix. Der Maximalwert f\u00fcr diese Produkte ist \"HIGH\" f\u00fcr \"Confidentiality\", \"Integrity\" und \"Availability\" \u00fcber alle Schwachstellen aggregiert und bewirkt damit eine Bewertung mit dem Wert \"HOCH\" f\u00fcr die Schadensh\u00f6he."
}
],
"product_status": {
"known_affected": [
"T040475",
"T040474"
]
},
"release_date": "2025-01-21T23:00:00.000+00:00",
"title": "CVE-2023-6129"
},
{
"cve": "CVE-2024-21245",
"notes": [
{
"category": "description",
"text": "In Oracle JD Edwards existieren mehrere Schwachstellen. Durch Ausnutzung dieser Schwachstellen kann ein entfernter, anonymer oder authentisierter Angreifer die Vertraulichkeit, Integrit\u00e4t und Verf\u00fcgbarkeit gef\u00e4hrden. F\u00fcr die Ausnutzung einiger dieser Schwachstellen ist keine Benutzerinteraktion notwendig. Oracle ver\u00f6ffentlicht keine weiteren Details zu diesen Schwachstellen (au\u00dfer der Information in der Risiko Matrix im Oracle Advisory zum Critical Patch Update, siehe Link unten in diesem Advisory). Aufgrund der knappen Informationslage erfolgt die Bewertung der Schadensh\u00f6he ausschlie\u00dflich auf Basis der CVSS Impact Matrix. Der Maximalwert f\u00fcr diese Produkte ist \"HIGH\" f\u00fcr \"Confidentiality\", \"Integrity\" und \"Availability\" \u00fcber alle Schwachstellen aggregiert und bewirkt damit eine Bewertung mit dem Wert \"HOCH\" f\u00fcr die Schadensh\u00f6he."
}
],
"product_status": {
"known_affected": [
"T040475",
"T040474"
]
},
"release_date": "2025-01-21T23:00:00.000+00:00",
"title": "CVE-2024-21245"
},
{
"cve": "CVE-2024-27280",
"notes": [
{
"category": "description",
"text": "In Oracle JD Edwards existieren mehrere Schwachstellen. Durch Ausnutzung dieser Schwachstellen kann ein entfernter, anonymer oder authentisierter Angreifer die Vertraulichkeit, Integrit\u00e4t und Verf\u00fcgbarkeit gef\u00e4hrden. F\u00fcr die Ausnutzung einiger dieser Schwachstellen ist keine Benutzerinteraktion notwendig. Oracle ver\u00f6ffentlicht keine weiteren Details zu diesen Schwachstellen (au\u00dfer der Information in der Risiko Matrix im Oracle Advisory zum Critical Patch Update, siehe Link unten in diesem Advisory). Aufgrund der knappen Informationslage erfolgt die Bewertung der Schadensh\u00f6he ausschlie\u00dflich auf Basis der CVSS Impact Matrix. Der Maximalwert f\u00fcr diese Produkte ist \"HIGH\" f\u00fcr \"Confidentiality\", \"Integrity\" und \"Availability\" \u00fcber alle Schwachstellen aggregiert und bewirkt damit eine Bewertung mit dem Wert \"HOCH\" f\u00fcr die Schadensh\u00f6he."
}
],
"product_status": {
"known_affected": [
"T040475",
"T040474"
]
},
"release_date": "2025-01-21T23:00:00.000+00:00",
"title": "CVE-2024-27280"
},
{
"cve": "CVE-2024-27983",
"notes": [
{
"category": "description",
"text": "In Oracle JD Edwards existieren mehrere Schwachstellen. Durch Ausnutzung dieser Schwachstellen kann ein entfernter, anonymer oder authentisierter Angreifer die Vertraulichkeit, Integrit\u00e4t und Verf\u00fcgbarkeit gef\u00e4hrden. F\u00fcr die Ausnutzung einiger dieser Schwachstellen ist keine Benutzerinteraktion notwendig. Oracle ver\u00f6ffentlicht keine weiteren Details zu diesen Schwachstellen (au\u00dfer der Information in der Risiko Matrix im Oracle Advisory zum Critical Patch Update, siehe Link unten in diesem Advisory). Aufgrund der knappen Informationslage erfolgt die Bewertung der Schadensh\u00f6he ausschlie\u00dflich auf Basis der CVSS Impact Matrix. Der Maximalwert f\u00fcr diese Produkte ist \"HIGH\" f\u00fcr \"Confidentiality\", \"Integrity\" und \"Availability\" \u00fcber alle Schwachstellen aggregiert und bewirkt damit eine Bewertung mit dem Wert \"HOCH\" f\u00fcr die Schadensh\u00f6he."
}
],
"product_status": {
"known_affected": [
"T040475",
"T040474"
]
},
"release_date": "2025-01-21T23:00:00.000+00:00",
"title": "CVE-2024-27983"
},
{
"cve": "CVE-2024-29041",
"notes": [
{
"category": "description",
"text": "In Oracle JD Edwards existieren mehrere Schwachstellen. Durch Ausnutzung dieser Schwachstellen kann ein entfernter, anonymer oder authentisierter Angreifer die Vertraulichkeit, Integrit\u00e4t und Verf\u00fcgbarkeit gef\u00e4hrden. F\u00fcr die Ausnutzung einiger dieser Schwachstellen ist keine Benutzerinteraktion notwendig. Oracle ver\u00f6ffentlicht keine weiteren Details zu diesen Schwachstellen (au\u00dfer der Information in der Risiko Matrix im Oracle Advisory zum Critical Patch Update, siehe Link unten in diesem Advisory). Aufgrund der knappen Informationslage erfolgt die Bewertung der Schadensh\u00f6he ausschlie\u00dflich auf Basis der CVSS Impact Matrix. Der Maximalwert f\u00fcr diese Produkte ist \"HIGH\" f\u00fcr \"Confidentiality\", \"Integrity\" und \"Availability\" \u00fcber alle Schwachstellen aggregiert und bewirkt damit eine Bewertung mit dem Wert \"HOCH\" f\u00fcr die Schadensh\u00f6he."
}
],
"product_status": {
"known_affected": [
"T040475",
"T040474"
]
},
"release_date": "2025-01-21T23:00:00.000+00:00",
"title": "CVE-2024-29041"
},
{
"cve": "CVE-2025-21507",
"notes": [
{
"category": "description",
"text": "In Oracle JD Edwards existieren mehrere Schwachstellen. Durch Ausnutzung dieser Schwachstellen kann ein entfernter, anonymer oder authentisierter Angreifer die Vertraulichkeit, Integrit\u00e4t und Verf\u00fcgbarkeit gef\u00e4hrden. F\u00fcr die Ausnutzung einiger dieser Schwachstellen ist keine Benutzerinteraktion notwendig. Oracle ver\u00f6ffentlicht keine weiteren Details zu diesen Schwachstellen (au\u00dfer der Information in der Risiko Matrix im Oracle Advisory zum Critical Patch Update, siehe Link unten in diesem Advisory). Aufgrund der knappen Informationslage erfolgt die Bewertung der Schadensh\u00f6he ausschlie\u00dflich auf Basis der CVSS Impact Matrix. Der Maximalwert f\u00fcr diese Produkte ist \"HIGH\" f\u00fcr \"Confidentiality\", \"Integrity\" und \"Availability\" \u00fcber alle Schwachstellen aggregiert und bewirkt damit eine Bewertung mit dem Wert \"HOCH\" f\u00fcr die Schadensh\u00f6he."
}
],
"product_status": {
"known_affected": [
"T040475",
"T040474"
]
},
"release_date": "2025-01-21T23:00:00.000+00:00",
"title": "CVE-2025-21507"
},
{
"cve": "CVE-2025-21508",
"notes": [
{
"category": "description",
"text": "In Oracle JD Edwards existieren mehrere Schwachstellen. Durch Ausnutzung dieser Schwachstellen kann ein entfernter, anonymer oder authentisierter Angreifer die Vertraulichkeit, Integrit\u00e4t und Verf\u00fcgbarkeit gef\u00e4hrden. F\u00fcr die Ausnutzung einiger dieser Schwachstellen ist keine Benutzerinteraktion notwendig. Oracle ver\u00f6ffentlicht keine weiteren Details zu diesen Schwachstellen (au\u00dfer der Information in der Risiko Matrix im Oracle Advisory zum Critical Patch Update, siehe Link unten in diesem Advisory). Aufgrund der knappen Informationslage erfolgt die Bewertung der Schadensh\u00f6he ausschlie\u00dflich auf Basis der CVSS Impact Matrix. Der Maximalwert f\u00fcr diese Produkte ist \"HIGH\" f\u00fcr \"Confidentiality\", \"Integrity\" und \"Availability\" \u00fcber alle Schwachstellen aggregiert und bewirkt damit eine Bewertung mit dem Wert \"HOCH\" f\u00fcr die Schadensh\u00f6he."
}
],
"product_status": {
"known_affected": [
"T040475",
"T040474"
]
},
"release_date": "2025-01-21T23:00:00.000+00:00",
"title": "CVE-2025-21508"
},
{
"cve": "CVE-2025-21509",
"notes": [
{
"category": "description",
"text": "In Oracle JD Edwards existieren mehrere Schwachstellen. Durch Ausnutzung dieser Schwachstellen kann ein entfernter, anonymer oder authentisierter Angreifer die Vertraulichkeit, Integrit\u00e4t und Verf\u00fcgbarkeit gef\u00e4hrden. F\u00fcr die Ausnutzung einiger dieser Schwachstellen ist keine Benutzerinteraktion notwendig. Oracle ver\u00f6ffentlicht keine weiteren Details zu diesen Schwachstellen (au\u00dfer der Information in der Risiko Matrix im Oracle Advisory zum Critical Patch Update, siehe Link unten in diesem Advisory). Aufgrund der knappen Informationslage erfolgt die Bewertung der Schadensh\u00f6he ausschlie\u00dflich auf Basis der CVSS Impact Matrix. Der Maximalwert f\u00fcr diese Produkte ist \"HIGH\" f\u00fcr \"Confidentiality\", \"Integrity\" und \"Availability\" \u00fcber alle Schwachstellen aggregiert und bewirkt damit eine Bewertung mit dem Wert \"HOCH\" f\u00fcr die Schadensh\u00f6he."
}
],
"product_status": {
"known_affected": [
"T040475",
"T040474"
]
},
"release_date": "2025-01-21T23:00:00.000+00:00",
"title": "CVE-2025-21509"
},
{
"cve": "CVE-2025-21510",
"notes": [
{
"category": "description",
"text": "In Oracle JD Edwards existieren mehrere Schwachstellen. Durch Ausnutzung dieser Schwachstellen kann ein entfernter, anonymer oder authentisierter Angreifer die Vertraulichkeit, Integrit\u00e4t und Verf\u00fcgbarkeit gef\u00e4hrden. F\u00fcr die Ausnutzung einiger dieser Schwachstellen ist keine Benutzerinteraktion notwendig. Oracle ver\u00f6ffentlicht keine weiteren Details zu diesen Schwachstellen (au\u00dfer der Information in der Risiko Matrix im Oracle Advisory zum Critical Patch Update, siehe Link unten in diesem Advisory). Aufgrund der knappen Informationslage erfolgt die Bewertung der Schadensh\u00f6he ausschlie\u00dflich auf Basis der CVSS Impact Matrix. Der Maximalwert f\u00fcr diese Produkte ist \"HIGH\" f\u00fcr \"Confidentiality\", \"Integrity\" und \"Availability\" \u00fcber alle Schwachstellen aggregiert und bewirkt damit eine Bewertung mit dem Wert \"HOCH\" f\u00fcr die Schadensh\u00f6he."
}
],
"product_status": {
"known_affected": [
"T040475",
"T040474"
]
},
"release_date": "2025-01-21T23:00:00.000+00:00",
"title": "CVE-2025-21510"
},
{
"cve": "CVE-2025-21511",
"notes": [
{
"category": "description",
"text": "In Oracle JD Edwards existieren mehrere Schwachstellen. Durch Ausnutzung dieser Schwachstellen kann ein entfernter, anonymer oder authentisierter Angreifer die Vertraulichkeit, Integrit\u00e4t und Verf\u00fcgbarkeit gef\u00e4hrden. F\u00fcr die Ausnutzung einiger dieser Schwachstellen ist keine Benutzerinteraktion notwendig. Oracle ver\u00f6ffentlicht keine weiteren Details zu diesen Schwachstellen (au\u00dfer der Information in der Risiko Matrix im Oracle Advisory zum Critical Patch Update, siehe Link unten in diesem Advisory). Aufgrund der knappen Informationslage erfolgt die Bewertung der Schadensh\u00f6he ausschlie\u00dflich auf Basis der CVSS Impact Matrix. Der Maximalwert f\u00fcr diese Produkte ist \"HIGH\" f\u00fcr \"Confidentiality\", \"Integrity\" und \"Availability\" \u00fcber alle Schwachstellen aggregiert und bewirkt damit eine Bewertung mit dem Wert \"HOCH\" f\u00fcr die Schadensh\u00f6he."
}
],
"product_status": {
"known_affected": [
"T040475",
"T040474"
]
},
"release_date": "2025-01-21T23:00:00.000+00:00",
"title": "CVE-2025-21511"
},
{
"cve": "CVE-2025-21512",
"notes": [
{
"category": "description",
"text": "In Oracle JD Edwards existieren mehrere Schwachstellen. Durch Ausnutzung dieser Schwachstellen kann ein entfernter, anonymer oder authentisierter Angreifer die Vertraulichkeit, Integrit\u00e4t und Verf\u00fcgbarkeit gef\u00e4hrden. F\u00fcr die Ausnutzung einiger dieser Schwachstellen ist keine Benutzerinteraktion notwendig. Oracle ver\u00f6ffentlicht keine weiteren Details zu diesen Schwachstellen (au\u00dfer der Information in der Risiko Matrix im Oracle Advisory zum Critical Patch Update, siehe Link unten in diesem Advisory). Aufgrund der knappen Informationslage erfolgt die Bewertung der Schadensh\u00f6he ausschlie\u00dflich auf Basis der CVSS Impact Matrix. Der Maximalwert f\u00fcr diese Produkte ist \"HIGH\" f\u00fcr \"Confidentiality\", \"Integrity\" und \"Availability\" \u00fcber alle Schwachstellen aggregiert und bewirkt damit eine Bewertung mit dem Wert \"HOCH\" f\u00fcr die Schadensh\u00f6he."
}
],
"product_status": {
"known_affected": [
"T040475",
"T040474"
]
},
"release_date": "2025-01-21T23:00:00.000+00:00",
"title": "CVE-2025-21512"
},
{
"cve": "CVE-2025-21513",
"notes": [
{
"category": "description",
"text": "In Oracle JD Edwards existieren mehrere Schwachstellen. Durch Ausnutzung dieser Schwachstellen kann ein entfernter, anonymer oder authentisierter Angreifer die Vertraulichkeit, Integrit\u00e4t und Verf\u00fcgbarkeit gef\u00e4hrden. F\u00fcr die Ausnutzung einiger dieser Schwachstellen ist keine Benutzerinteraktion notwendig. Oracle ver\u00f6ffentlicht keine weiteren Details zu diesen Schwachstellen (au\u00dfer der Information in der Risiko Matrix im Oracle Advisory zum Critical Patch Update, siehe Link unten in diesem Advisory). Aufgrund der knappen Informationslage erfolgt die Bewertung der Schadensh\u00f6he ausschlie\u00dflich auf Basis der CVSS Impact Matrix. Der Maximalwert f\u00fcr diese Produkte ist \"HIGH\" f\u00fcr \"Confidentiality\", \"Integrity\" und \"Availability\" \u00fcber alle Schwachstellen aggregiert und bewirkt damit eine Bewertung mit dem Wert \"HOCH\" f\u00fcr die Schadensh\u00f6he."
}
],
"product_status": {
"known_affected": [
"T040475",
"T040474"
]
},
"release_date": "2025-01-21T23:00:00.000+00:00",
"title": "CVE-2025-21513"
},
{
"cve": "CVE-2025-21514",
"notes": [
{
"category": "description",
"text": "In Oracle JD Edwards existieren mehrere Schwachstellen. Durch Ausnutzung dieser Schwachstellen kann ein entfernter, anonymer oder authentisierter Angreifer die Vertraulichkeit, Integrit\u00e4t und Verf\u00fcgbarkeit gef\u00e4hrden. F\u00fcr die Ausnutzung einiger dieser Schwachstellen ist keine Benutzerinteraktion notwendig. Oracle ver\u00f6ffentlicht keine weiteren Details zu diesen Schwachstellen (au\u00dfer der Information in der Risiko Matrix im Oracle Advisory zum Critical Patch Update, siehe Link unten in diesem Advisory). Aufgrund der knappen Informationslage erfolgt die Bewertung der Schadensh\u00f6he ausschlie\u00dflich auf Basis der CVSS Impact Matrix. Der Maximalwert f\u00fcr diese Produkte ist \"HIGH\" f\u00fcr \"Confidentiality\", \"Integrity\" und \"Availability\" \u00fcber alle Schwachstellen aggregiert und bewirkt damit eine Bewertung mit dem Wert \"HOCH\" f\u00fcr die Schadensh\u00f6he."
}
],
"product_status": {
"known_affected": [
"T040475",
"T040474"
]
},
"release_date": "2025-01-21T23:00:00.000+00:00",
"title": "CVE-2025-21514"
},
{
"cve": "CVE-2025-21515",
"notes": [
{
"category": "description",
"text": "In Oracle JD Edwards existieren mehrere Schwachstellen. Durch Ausnutzung dieser Schwachstellen kann ein entfernter, anonymer oder authentisierter Angreifer die Vertraulichkeit, Integrit\u00e4t und Verf\u00fcgbarkeit gef\u00e4hrden. F\u00fcr die Ausnutzung einiger dieser Schwachstellen ist keine Benutzerinteraktion notwendig. Oracle ver\u00f6ffentlicht keine weiteren Details zu diesen Schwachstellen (au\u00dfer der Information in der Risiko Matrix im Oracle Advisory zum Critical Patch Update, siehe Link unten in diesem Advisory). Aufgrund der knappen Informationslage erfolgt die Bewertung der Schadensh\u00f6he ausschlie\u00dflich auf Basis der CVSS Impact Matrix. Der Maximalwert f\u00fcr diese Produkte ist \"HIGH\" f\u00fcr \"Confidentiality\", \"Integrity\" und \"Availability\" \u00fcber alle Schwachstellen aggregiert und bewirkt damit eine Bewertung mit dem Wert \"HOCH\" f\u00fcr die Schadensh\u00f6he."
}
],
"product_status": {
"known_affected": [
"T040475",
"T040474"
]
},
"release_date": "2025-01-21T23:00:00.000+00:00",
"title": "CVE-2025-21515"
},
{
"cve": "CVE-2025-21517",
"notes": [
{
"category": "description",
"text": "In Oracle JD Edwards existieren mehrere Schwachstellen. Durch Ausnutzung dieser Schwachstellen kann ein entfernter, anonymer oder authentisierter Angreifer die Vertraulichkeit, Integrit\u00e4t und Verf\u00fcgbarkeit gef\u00e4hrden. F\u00fcr die Ausnutzung einiger dieser Schwachstellen ist keine Benutzerinteraktion notwendig. Oracle ver\u00f6ffentlicht keine weiteren Details zu diesen Schwachstellen (au\u00dfer der Information in der Risiko Matrix im Oracle Advisory zum Critical Patch Update, siehe Link unten in diesem Advisory). Aufgrund der knappen Informationslage erfolgt die Bewertung der Schadensh\u00f6he ausschlie\u00dflich auf Basis der CVSS Impact Matrix. Der Maximalwert f\u00fcr diese Produkte ist \"HIGH\" f\u00fcr \"Confidentiality\", \"Integrity\" und \"Availability\" \u00fcber alle Schwachstellen aggregiert und bewirkt damit eine Bewertung mit dem Wert \"HOCH\" f\u00fcr die Schadensh\u00f6he."
}
],
"product_status": {
"known_affected": [
"T040475",
"T040474"
]
},
"release_date": "2025-01-21T23:00:00.000+00:00",
"title": "CVE-2025-21517"
},
{
"cve": "CVE-2025-21524",
"notes": [
{
"category": "description",
"text": "In Oracle JD Edwards existieren mehrere Schwachstellen. Durch Ausnutzung dieser Schwachstellen kann ein entfernter, anonymer oder authentisierter Angreifer die Vertraulichkeit, Integrit\u00e4t und Verf\u00fcgbarkeit gef\u00e4hrden. F\u00fcr die Ausnutzung einiger dieser Schwachstellen ist keine Benutzerinteraktion notwendig. Oracle ver\u00f6ffentlicht keine weiteren Details zu diesen Schwachstellen (au\u00dfer der Information in der Risiko Matrix im Oracle Advisory zum Critical Patch Update, siehe Link unten in diesem Advisory). Aufgrund der knappen Informationslage erfolgt die Bewertung der Schadensh\u00f6he ausschlie\u00dflich auf Basis der CVSS Impact Matrix. Der Maximalwert f\u00fcr diese Produkte ist \"HIGH\" f\u00fcr \"Confidentiality\", \"Integrity\" und \"Availability\" \u00fcber alle Schwachstellen aggregiert und bewirkt damit eine Bewertung mit dem Wert \"HOCH\" f\u00fcr die Schadensh\u00f6he."
}
],
"product_status": {
"known_affected": [
"T040475",
"T040474"
]
},
"release_date": "2025-01-21T23:00:00.000+00:00",
"title": "CVE-2025-21524"
},
{
"cve": "CVE-2025-21527",
"notes": [
{
"category": "description",
"text": "In Oracle JD Edwards existieren mehrere Schwachstellen. Durch Ausnutzung dieser Schwachstellen kann ein entfernter, anonymer oder authentisierter Angreifer die Vertraulichkeit, Integrit\u00e4t und Verf\u00fcgbarkeit gef\u00e4hrden. F\u00fcr die Ausnutzung einiger dieser Schwachstellen ist keine Benutzerinteraktion notwendig. Oracle ver\u00f6ffentlicht keine weiteren Details zu diesen Schwachstellen (au\u00dfer der Information in der Risiko Matrix im Oracle Advisory zum Critical Patch Update, siehe Link unten in diesem Advisory). Aufgrund der knappen Informationslage erfolgt die Bewertung der Schadensh\u00f6he ausschlie\u00dflich auf Basis der CVSS Impact Matrix. Der Maximalwert f\u00fcr diese Produkte ist \"HIGH\" f\u00fcr \"Confidentiality\", \"Integrity\" und \"Availability\" \u00fcber alle Schwachstellen aggregiert und bewirkt damit eine Bewertung mit dem Wert \"HOCH\" f\u00fcr die Schadensh\u00f6he."
}
],
"product_status": {
"known_affected": [
"T040475",
"T040474"
]
},
"release_date": "2025-01-21T23:00:00.000+00:00",
"title": "CVE-2025-21527"
},
{
"cve": "CVE-2025-21538",
"notes": [
{
"category": "description",
"text": "In Oracle JD Edwards existieren mehrere Schwachstellen. Durch Ausnutzung dieser Schwachstellen kann ein entfernter, anonymer oder authentisierter Angreifer die Vertraulichkeit, Integrit\u00e4t und Verf\u00fcgbarkeit gef\u00e4hrden. F\u00fcr die Ausnutzung einiger dieser Schwachstellen ist keine Benutzerinteraktion notwendig. Oracle ver\u00f6ffentlicht keine weiteren Details zu diesen Schwachstellen (au\u00dfer der Information in der Risiko Matrix im Oracle Advisory zum Critical Patch Update, siehe Link unten in diesem Advisory). Aufgrund der knappen Informationslage erfolgt die Bewertung der Schadensh\u00f6he ausschlie\u00dflich auf Basis der CVSS Impact Matrix. Der Maximalwert f\u00fcr diese Produkte ist \"HIGH\" f\u00fcr \"Confidentiality\", \"Integrity\" und \"Availability\" \u00fcber alle Schwachstellen aggregiert und bewirkt damit eine Bewertung mit dem Wert \"HOCH\" f\u00fcr die Schadensh\u00f6he."
}
],
"product_status": {
"known_affected": [
"T040475",
"T040474"
]
},
"release_date": "2025-01-21T23:00:00.000+00:00",
"title": "CVE-2025-21538"
},
{
"cve": "CVE-2025-21552",
"notes": [
{
"category": "description",
"text": "In Oracle JD Edwards existieren mehrere Schwachstellen. Durch Ausnutzung dieser Schwachstellen kann ein entfernter, anonymer oder authentisierter Angreifer die Vertraulichkeit, Integrit\u00e4t und Verf\u00fcgbarkeit gef\u00e4hrden. F\u00fcr die Ausnutzung einiger dieser Schwachstellen ist keine Benutzerinteraktion notwendig. Oracle ver\u00f6ffentlicht keine weiteren Details zu diesen Schwachstellen (au\u00dfer der Information in der Risiko Matrix im Oracle Advisory zum Critical Patch Update, siehe Link unten in diesem Advisory). Aufgrund der knappen Informationslage erfolgt die Bewertung der Schadensh\u00f6he ausschlie\u00dflich auf Basis der CVSS Impact Matrix. Der Maximalwert f\u00fcr diese Produkte ist \"HIGH\" f\u00fcr \"Confidentiality\", \"Integrity\" und \"Availability\" \u00fcber alle Schwachstellen aggregiert und bewirkt damit eine Bewertung mit dem Wert \"HOCH\" f\u00fcr die Schadensh\u00f6he."
}
],
"product_status": {
"known_affected": [
"T040475",
"T040474"
]
},
"release_date": "2025-01-21T23:00:00.000+00:00",
"title": "CVE-2025-21552"
}
]
}
Loading…
Trend slope:
-
(linear fit over daily sighting counts)
Show additional events:
Loading…
Experimental. This forecast is provided for visualization only and may change without notice. Do not use it for operational decisions.
Forecast uses a logistic model when the trend is rising, or an exponential decay model when the trend is falling. Fitted via linearized least squares.
Sightings
| Author | Source | Type | Date | Other |
|---|
Nomenclature
- Seen: The vulnerability was mentioned, discussed, or observed by the user.
- Confirmed: The vulnerability has been validated from an analyst's perspective.
- Published Proof of Concept: A public proof of concept is available for this vulnerability.
- Exploited: The vulnerability was observed as exploited by the user who reported the sighting.
- Patched: The vulnerability was observed as successfully patched by the user who reported the sighting.
- Not exploited: The vulnerability was not observed as exploited by the user who reported the sighting.
- Not confirmed: The user expressed doubt about the validity of the vulnerability.
- Not patched: The vulnerability was not observed as successfully patched by the user who reported the sighting.
Loading…
Loading…