cvelistv5 - cve-2021-41033

cve-2021-41033

Vulnerability from cvelistv5

Published

2021-09-13 20:55

Modified

2024-08-04 02:59

Severity ?

Summary

In all released versions of Eclipse Equinox, at least until version 4.21 (September 2021), installation can be vulnerable to man-in-the-middle attack if using p2 repos that are HTTP; that can then be exploited to serve incorrect p2 metadata and entirely alter the local installation, particularly by installing plug-ins that may then run malicious code.

References

▼	URL	Tags
	emo@eclipse.org	https://bugs.eclipse.org/bugs/show_bug.cgi?id=575688	Vendor Advisory
	af854a3a-2127-422b-91ae-364da2661108	https://bugs.eclipse.org/bugs/show_bug.cgi?id=575688	Vendor Advisory

Impacted products

	Vendor	Product	Version
	The Eclipse Foundation	Eclipse Equinox

Show details on NVD website

JSON

To clipboard

{
   containers: {
      adp: [
         {
            providerMetadata: {
               dateUpdated: "2024-08-04T02:59:30.351Z",
               orgId: "af854a3a-2127-422b-91ae-364da2661108",
               shortName: "CVE",
            },
            references: [
               {
                  tags: [
                     "x_refsource_CONFIRM",
                     "x_transferred",
                  ],
                  url: "https://bugs.eclipse.org/bugs/show_bug.cgi?id=575688",
               },
            ],
            title: "CVE Program Container",
         },
      ],
      cna: {
         affected: [
            {
               product: "Eclipse Equinox",
               vendor: "The Eclipse Foundation",
               versions: [
                  {
                     lessThanOrEqual: "4.21",
                     status: "unknown",
                     version: "unspecified",
                     versionType: "custom",
                  },
               ],
            },
         ],
         descriptions: [
            {
               lang: "en",
               value: "In all released versions of Eclipse Equinox, at least until version 4.21 (September 2021), installation can be vulnerable to man-in-the-middle attack if using p2 repos that are HTTP; that can then be exploited to serve incorrect p2 metadata and entirely alter the local installation, particularly by installing plug-ins that may then run malicious code.",
            },
         ],
         problemTypes: [
            {
               descriptions: [
                  {
                     cweId: "CWE-300",
                     description: "CWE-300",
                     lang: "en",
                     type: "CWE",
                  },
               ],
            },
         ],
         providerMetadata: {
            dateUpdated: "2021-09-13T20:55:09",
            orgId: "e51fbebd-6053-4e49-959f-1b94eeb69a2c",
            shortName: "eclipse",
         },
         references: [
            {
               tags: [
                  "x_refsource_CONFIRM",
               ],
               url: "https://bugs.eclipse.org/bugs/show_bug.cgi?id=575688",
            },
         ],
         x_legacyV4Record: {
            CVE_data_meta: {
               ASSIGNER: "security@eclipse.org",
               ID: "CVE-2021-41033",
               STATE: "PUBLIC",
            },
            affects: {
               vendor: {
                  vendor_data: [
                     {
                        product: {
                           product_data: [
                              {
                                 product_name: "Eclipse Equinox",
                                 version: {
                                    version_data: [
                                       {
                                          version_affected: "?<=",
                                          version_value: "4.21",
                                       },
                                    ],
                                 },
                              },
                           ],
                        },
                        vendor_name: "The Eclipse Foundation",
                     },
                  ],
               },
            },
            data_format: "MITRE",
            data_type: "CVE",
            data_version: "4.0",
            description: {
               description_data: [
                  {
                     lang: "eng",
                     value: "In all released versions of Eclipse Equinox, at least until version 4.21 (September 2021), installation can be vulnerable to man-in-the-middle attack if using p2 repos that are HTTP; that can then be exploited to serve incorrect p2 metadata and entirely alter the local installation, particularly by installing plug-ins that may then run malicious code.",
                  },
               ],
            },
            problemtype: {
               problemtype_data: [
                  {
                     description: [
                        {
                           lang: "eng",
                           value: "CWE-300",
                        },
                     ],
                  },
               ],
            },
            references: {
               reference_data: [
                  {
                     name: "https://bugs.eclipse.org/bugs/show_bug.cgi?id=575688",
                     refsource: "CONFIRM",
                     url: "https://bugs.eclipse.org/bugs/show_bug.cgi?id=575688",
                  },
               ],
            },
         },
      },
   },
   cveMetadata: {
      assignerOrgId: "e51fbebd-6053-4e49-959f-1b94eeb69a2c",
      assignerShortName: "eclipse",
      cveId: "CVE-2021-41033",
      datePublished: "2021-09-13T20:55:09",
      dateReserved: "2021-09-13T00:00:00",
      dateUpdated: "2024-08-04T02:59:30.351Z",
      state: "PUBLISHED",
   },
   dataType: "CVE_RECORD",
   dataVersion: "5.1",
   "vulnerability-lookup:meta": {
      fkie_nvd: {
         configurations: "[{\"nodes\": [{\"operator\": \"OR\", \"negate\": false, \"cpeMatch\": [{\"vulnerable\": true, \"criteria\": \"cpe:2.3:a:eclipse:equinox:*:*:*:*:*:*:*:*\", \"versionEndExcluding\": \"4.21\", \"matchCriteriaId\": \"8A60D343-B2A3-435E-9F78-A85FEF5EB763\"}, {\"vulnerable\": true, \"criteria\": \"cpe:2.3:a:eclipse:equinox:4.21:*:*:*:*:*:*:*\", \"matchCriteriaId\": \"87999DDA-C828-4298-8EA3-A43BD245DE04\"}]}]}]",
         descriptions: "[{\"lang\": \"en\", \"value\": \"In all released versions of Eclipse Equinox, at least until version 4.21 (September 2021), installation can be vulnerable to man-in-the-middle attack if using p2 repos that are HTTP; that can then be exploited to serve incorrect p2 metadata and entirely alter the local installation, particularly by installing plug-ins that may then run malicious code.\"}, {\"lang\": \"es\", \"value\": \"En todas las versiones liberadas de Eclipse Equinox, al menos hasta la versi\\u00f3n 4.21 (septiembre de 2021), la instalaci\\u00f3n puede ser vulnerable a un ataque de tipo man-in-the-middle si se usan repos p2 que son HTTP; esto puede entonces ser explotado para servir metadatos p2 incorrectos y alterar por completo la instalaci\\u00f3n local, particularmente mediante la instalaci\\u00f3n de plug-ins que luego pueden ejecutar c\\u00f3digo malicioso\"}]",
         id: "CVE-2021-41033",
         lastModified: "2024-11-21T06:25:19.170",
         metrics: "{\"cvssMetricV31\": [{\"source\": \"nvd@nist.gov\", \"type\": \"Primary\", \"cvssData\": {\"version\": \"3.1\", \"vectorString\": \"CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H\", \"baseScore\": 8.1, \"baseSeverity\": \"HIGH\", \"attackVector\": \"NETWORK\", \"attackComplexity\": \"HIGH\", \"privilegesRequired\": \"NONE\", \"userInteraction\": \"NONE\", \"scope\": \"UNCHANGED\", \"confidentialityImpact\": \"HIGH\", \"integrityImpact\": \"HIGH\", \"availabilityImpact\": \"HIGH\"}, \"exploitabilityScore\": 2.2, \"impactScore\": 5.9}], \"cvssMetricV2\": [{\"source\": \"nvd@nist.gov\", \"type\": \"Primary\", \"cvssData\": {\"version\": \"2.0\", \"vectorString\": \"AV:N/AC:M/Au:N/C:P/I:P/A:P\", \"baseScore\": 6.8, \"accessVector\": \"NETWORK\", \"accessComplexity\": \"MEDIUM\", \"authentication\": \"NONE\", \"confidentialityImpact\": \"PARTIAL\", \"integrityImpact\": \"PARTIAL\", \"availabilityImpact\": \"PARTIAL\"}, \"baseSeverity\": \"MEDIUM\", \"exploitabilityScore\": 8.6, \"impactScore\": 6.4, \"acInsufInfo\": false, \"obtainAllPrivilege\": false, \"obtainUserPrivilege\": false, \"obtainOtherPrivilege\": false, \"userInteractionRequired\": false}]}",
         published: "2021-09-13T21:15:07.937",
         references: "[{\"url\": \"https://bugs.eclipse.org/bugs/show_bug.cgi?id=575688\", \"source\": \"emo@eclipse.org\", \"tags\": [\"Vendor Advisory\"]}, {\"url\": \"https://bugs.eclipse.org/bugs/show_bug.cgi?id=575688\", \"source\": \"af854a3a-2127-422b-91ae-364da2661108\", \"tags\": [\"Vendor Advisory\"]}]",
         sourceIdentifier: "emo@eclipse.org",
         vulnStatus: "Modified",
         weaknesses: "[{\"source\": \"emo@eclipse.org\", \"type\": \"Secondary\", \"description\": [{\"lang\": \"en\", \"value\": \"CWE-300\"}]}, {\"source\": \"nvd@nist.gov\", \"type\": \"Primary\", \"description\": [{\"lang\": \"en\", \"value\": \"NVD-CWE-noinfo\"}]}]",
      },
      nvd: "{\"cve\":{\"id\":\"CVE-2021-41033\",\"sourceIdentifier\":\"emo@eclipse.org\",\"published\":\"2021-09-13T21:15:07.937\",\"lastModified\":\"2024-11-21T06:25:19.170\",\"vulnStatus\":\"Modified\",\"cveTags\":[],\"descriptions\":[{\"lang\":\"en\",\"value\":\"In all released versions of Eclipse Equinox, at least until version 4.21 (September 2021), installation can be vulnerable to man-in-the-middle attack if using p2 repos that are HTTP; that can then be exploited to serve incorrect p2 metadata and entirely alter the local installation, particularly by installing plug-ins that may then run malicious code.\"},{\"lang\":\"es\",\"value\":\"En todas las versiones liberadas de Eclipse Equinox, al menos hasta la versión 4.21 (septiembre de 2021), la instalación puede ser vulnerable a un ataque de tipo man-in-the-middle si se usan repos p2 que son HTTP; esto puede entonces ser explotado para servir metadatos p2 incorrectos y alterar por completo la instalación local, particularmente mediante la instalación de plug-ins que luego pueden ejecutar código malicioso\"}],\"metrics\":{\"cvssMetricV31\":[{\"source\":\"nvd@nist.gov\",\"type\":\"Primary\",\"cvssData\":{\"version\":\"3.1\",\"vectorString\":\"CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H\",\"baseScore\":8.1,\"baseSeverity\":\"HIGH\",\"attackVector\":\"NETWORK\",\"attackComplexity\":\"HIGH\",\"privilegesRequired\":\"NONE\",\"userInteraction\":\"NONE\",\"scope\":\"UNCHANGED\",\"confidentialityImpact\":\"HIGH\",\"integrityImpact\":\"HIGH\",\"availabilityImpact\":\"HIGH\"},\"exploitabilityScore\":2.2,\"impactScore\":5.9}],\"cvssMetricV2\":[{\"source\":\"nvd@nist.gov\",\"type\":\"Primary\",\"cvssData\":{\"version\":\"2.0\",\"vectorString\":\"AV:N/AC:M/Au:N/C:P/I:P/A:P\",\"baseScore\":6.8,\"accessVector\":\"NETWORK\",\"accessComplexity\":\"MEDIUM\",\"authentication\":\"NONE\",\"confidentialityImpact\":\"PARTIAL\",\"integrityImpact\":\"PARTIAL\",\"availabilityImpact\":\"PARTIAL\"},\"baseSeverity\":\"MEDIUM\",\"exploitabilityScore\":8.6,\"impactScore\":6.4,\"acInsufInfo\":false,\"obtainAllPrivilege\":false,\"obtainUserPrivilege\":false,\"obtainOtherPrivilege\":false,\"userInteractionRequired\":false}]},\"weaknesses\":[{\"source\":\"emo@eclipse.org\",\"type\":\"Secondary\",\"description\":[{\"lang\":\"en\",\"value\":\"CWE-300\"}]},{\"source\":\"nvd@nist.gov\",\"type\":\"Primary\",\"description\":[{\"lang\":\"en\",\"value\":\"NVD-CWE-noinfo\"}]}],\"configurations\":[{\"nodes\":[{\"operator\":\"OR\",\"negate\":false,\"cpeMatch\":[{\"vulnerable\":true,\"criteria\":\"cpe:2.3:a:eclipse:equinox:*:*:*:*:*:*:*:*\",\"versionEndExcluding\":\"4.21\",\"matchCriteriaId\":\"8A60D343-B2A3-435E-9F78-A85FEF5EB763\"},{\"vulnerable\":true,\"criteria\":\"cpe:2.3:a:eclipse:equinox:4.21:*:*:*:*:*:*:*\",\"matchCriteriaId\":\"87999DDA-C828-4298-8EA3-A43BD245DE04\"}]}]}],\"references\":[{\"url\":\"https://bugs.eclipse.org/bugs/show_bug.cgi?id=575688\",\"source\":\"emo@eclipse.org\",\"tags\":[\"Vendor Advisory\"]},{\"url\":\"https://bugs.eclipse.org/bugs/show_bug.cgi?id=575688\",\"source\":\"af854a3a-2127-422b-91ae-364da2661108\",\"tags\":[\"Vendor Advisory\"]}]}}",
   },
}

fkie_cve-2021-41033

Vulnerability from fkie_nvd

Published

2021-09-13 21:15

Modified

2024-11-21 06:25

Severity ?

8.1 (High) - CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H

Summary

References

▼	URL	Tags
	emo@eclipse.org	https://bugs.eclipse.org/bugs/show_bug.cgi?id=575688	Vendor Advisory
	af854a3a-2127-422b-91ae-364da2661108	https://bugs.eclipse.org/bugs/show_bug.cgi?id=575688	Vendor Advisory

Impacted products

	Vendor	Product	Version
	eclipse	equinox	*
	eclipse	equinox	4.21

JSON

To clipboard

{
   configurations: [
      {
         nodes: [
            {
               cpeMatch: [
                  {
                     criteria: "cpe:2.3:a:eclipse:equinox:*:*:*:*:*:*:*:*",
                     matchCriteriaId: "8A60D343-B2A3-435E-9F78-A85FEF5EB763",
                     versionEndExcluding: "4.21",
                     vulnerable: true,
                  },
                  {
                     criteria: "cpe:2.3:a:eclipse:equinox:4.21:*:*:*:*:*:*:*",
                     matchCriteriaId: "87999DDA-C828-4298-8EA3-A43BD245DE04",
                     vulnerable: true,
                  },
               ],
               negate: false,
               operator: "OR",
            },
         ],
      },
   ],
   cveTags: [],
   descriptions: [
      {
         lang: "en",
         value: "In all released versions of Eclipse Equinox, at least until version 4.21 (September 2021), installation can be vulnerable to man-in-the-middle attack if using p2 repos that are HTTP; that can then be exploited to serve incorrect p2 metadata and entirely alter the local installation, particularly by installing plug-ins that may then run malicious code.",
      },
      {
         lang: "es",
         value: "En todas las versiones liberadas de Eclipse Equinox, al menos hasta la versión 4.21 (septiembre de 2021), la instalación puede ser vulnerable a un ataque de tipo man-in-the-middle si se usan repos p2 que son HTTP; esto puede entonces ser explotado para servir metadatos p2 incorrectos y alterar por completo la instalación local, particularmente mediante la instalación de plug-ins que luego pueden ejecutar código malicioso",
      },
   ],
   id: "CVE-2021-41033",
   lastModified: "2024-11-21T06:25:19.170",
   metrics: {
      cvssMetricV2: [
         {
            acInsufInfo: false,
            baseSeverity: "MEDIUM",
            cvssData: {
               accessComplexity: "MEDIUM",
               accessVector: "NETWORK",
               authentication: "NONE",
               availabilityImpact: "PARTIAL",
               baseScore: 6.8,
               confidentialityImpact: "PARTIAL",
               integrityImpact: "PARTIAL",
               vectorString: "AV:N/AC:M/Au:N/C:P/I:P/A:P",
               version: "2.0",
            },
            exploitabilityScore: 8.6,
            impactScore: 6.4,
            obtainAllPrivilege: false,
            obtainOtherPrivilege: false,
            obtainUserPrivilege: false,
            source: "nvd@nist.gov",
            type: "Primary",
            userInteractionRequired: false,
         },
      ],
      cvssMetricV31: [
         {
            cvssData: {
               attackComplexity: "HIGH",
               attackVector: "NETWORK",
               availabilityImpact: "HIGH",
               baseScore: 8.1,
               baseSeverity: "HIGH",
               confidentialityImpact: "HIGH",
               integrityImpact: "HIGH",
               privilegesRequired: "NONE",
               scope: "UNCHANGED",
               userInteraction: "NONE",
               vectorString: "CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H",
               version: "3.1",
            },
            exploitabilityScore: 2.2,
            impactScore: 5.9,
            source: "nvd@nist.gov",
            type: "Primary",
         },
      ],
   },
   published: "2021-09-13T21:15:07.937",
   references: [
      {
         source: "emo@eclipse.org",
         tags: [
            "Vendor Advisory",
         ],
         url: "https://bugs.eclipse.org/bugs/show_bug.cgi?id=575688",
      },
      {
         source: "af854a3a-2127-422b-91ae-364da2661108",
         tags: [
            "Vendor Advisory",
         ],
         url: "https://bugs.eclipse.org/bugs/show_bug.cgi?id=575688",
      },
   ],
   sourceIdentifier: "emo@eclipse.org",
   vulnStatus: "Modified",
   weaknesses: [
      {
         description: [
            {
               lang: "en",
               value: "CWE-300",
            },
         ],
         source: "emo@eclipse.org",
         type: "Secondary",
      },
      {
         description: [
            {
               lang: "en",
               value: "NVD-CWE-noinfo",
            },
         ],
         source: "nvd@nist.gov",
         type: "Primary",
      },
   ],
}

wid-sec-w-2023-0027

Vulnerability from csaf_certbund

Published

2023-01-04 23:00

Modified

2023-02-23 23:00

Summary

IBM Tivoli Network Manager: Mehrere Schwachstellen

Notes

Das BSI ist als Anbieter für die eigenen, zur Nutzung bereitgestellten Inhalte nach den allgemeinen Gesetzen verantwortlich. Nutzerinnen und Nutzer sind jedoch dafür verantwortlich, die Verwendung und/oder die Umsetzung der mit den Inhalten bereitgestellten Informationen sorgfältig im Einzelfall zu prüfen.

Produktbeschreibung

IBM Tivoli Network Manager ist eine Netzanalysesoftware für das Management komplexer Netze. Diese Software erfasst und verteilt Layer-2- und Layer-3-Netzdaten.

Angriff

Ein entfernter, anonymer oder authentisierter Angreifer kann mehrere Schwachstellen in IBM Tivoli Network Manager ausnutzen, um Sicherheitsmaßnahmen zu umgehen, vertrauliche Informationen offenzulegen, einen Denial-of-Service-Zustand herbeizuführen und nicht spezifizierte Auswirkungen zu verursachen.

Betroffene Betriebssysteme

- Linux - Sonstiges

JSON

To clipboard

{
   document: {
      aggregate_severity: {
         text: "hoch",
      },
      category: "csaf_base",
      csaf_version: "2.0",
      distribution: {
         tlp: {
            label: "WHITE",
            url: "https://www.first.org/tlp/",
         },
      },
      lang: "de-DE",
      notes: [
         {
            category: "legal_disclaimer",
            text: "Das BSI ist als Anbieter für die eigenen, zur Nutzung bereitgestellten Inhalte nach den allgemeinen Gesetzen verantwortlich. Nutzerinnen und Nutzer sind jedoch dafür verantwortlich, die Verwendung und/oder die Umsetzung der mit den Inhalten bereitgestellten Informationen sorgfältig im Einzelfall zu prüfen.",
         },
         {
            category: "description",
            text: "IBM Tivoli Network Manager ist eine Netzanalysesoftware für das Management komplexer Netze. Diese Software erfasst und verteilt Layer-2- und Layer-3-Netzdaten.",
            title: "Produktbeschreibung",
         },
         {
            category: "summary",
            text: "Ein entfernter, anonymer oder authentisierter Angreifer kann mehrere Schwachstellen in IBM Tivoli Network Manager ausnutzen, um Sicherheitsmaßnahmen zu umgehen, vertrauliche Informationen offenzulegen, einen Denial-of-Service-Zustand herbeizuführen und nicht spezifizierte Auswirkungen zu verursachen.",
            title: "Angriff",
         },
         {
            category: "general",
            text: "- Linux\n- Sonstiges",
            title: "Betroffene Betriebssysteme",
         },
      ],
      publisher: {
         category: "other",
         contact_details: "csaf-provider@cert-bund.de",
         name: "Bundesamt für Sicherheit in der Informationstechnik",
         namespace: "https://www.bsi.bund.de",
      },
      references: [
         {
            category: "self",
            summary: "WID-SEC-W-2023-0027 - CSAF Version",
            url: "https://wid.cert-bund.de/.well-known/csaf/white/2023/wid-sec-w-2023-0027.json",
         },
         {
            category: "self",
            summary: "WID-SEC-2023-0027 - Portal Version",
            url: "https://wid.cert-bund.de/portal/wid/securityadvisory?name=WID-SEC-2023-0027",
         },
         {
            category: "external",
            summary: "IBM Security Bulletin 6958056 vom 2023-02-24",
            url: "https://www.ibm.com/support/pages/node/6958056",
         },
         {
            category: "external",
            summary: "IBM Security Advisory vom 2023-01-04",
            url: "https://www.ibm.com/support/pages/node/6852633",
         },
         {
            category: "external",
            summary: "IBM Security Advisory vom 2023-01-04",
            url: "https://www.ibm.com/support/pages/node/6852613",
         },
         {
            category: "external",
            summary: "IBM Security Advisory vom 2023-01-04",
            url: "https://www.ibm.com/support/pages/node/6852611",
         },
         {
            category: "external",
            summary: "IBM Security Advisory vom 2023-01-04",
            url: "https://www.ibm.com/support/pages/node/6852609",
         },
      ],
      source_lang: "en-US",
      title: "IBM Tivoli Network Manager: Mehrere Schwachstellen",
      tracking: {
         current_release_date: "2023-02-23T23:00:00.000+00:00",
         generator: {
            date: "2024-08-15T17:40:51.947+00:00",
            engine: {
               name: "BSI-WID",
               version: "1.3.5",
            },
         },
         id: "WID-SEC-W-2023-0027",
         initial_release_date: "2023-01-04T23:00:00.000+00:00",
         revision_history: [
            {
               date: "2023-01-04T23:00:00.000+00:00",
               number: "1",
               summary: "Initiale Fassung",
            },
            {
               date: "2023-02-23T23:00:00.000+00:00",
               number: "2",
               summary: "Neue Updates von IBM aufgenommen",
            },
         ],
         status: "final",
         version: "2",
      },
   },
   product_tree: {
      branches: [
         {
            branches: [
               {
                  branches: [
                     {
                        category: "product_name",
                        name: "IBM Tivoli Network Manager <= 4.2.0.15",
                        product: {
                           name: "IBM Tivoli Network Manager <= 4.2.0.15",
                           product_id: "T024051",
                           product_identification_helper: {
                              cpe: "cpe:/a:ibm:tivoli_network_manager:4.2.0.15",
                           },
                        },
                     },
                     {
                        category: "product_name",
                        name: "IBM Tivoli Network Manager 4.2.0",
                        product: {
                           name: "IBM Tivoli Network Manager 4.2.0",
                           product_id: "T025751",
                           product_identification_helper: {
                              cpe: "cpe:/a:ibm:tivoli_network_manager:4.2.0",
                           },
                        },
                     },
                  ],
                  category: "product_name",
                  name: "Tivoli Network Manager",
               },
            ],
            category: "vendor",
            name: "IBM",
         },
      ],
   },
   vulnerabilities: [
      {
         cve: "CVE-2022-24823",
         notes: [
            {
               category: "description",
               text: "In IBM Tivoli Network Manager existieren mehrere Schwachstellen. Die Fehler bestehen in verschiedenen Komponenten von Drittanbietern wie Google Web Toolkit, Eclipse BIRT, Apache Batik, Apache Derby, Eclipse Equinox, FasterXML jackson-databind, Eclipse Jetty, Netty und JDBC. Ein entfernter Angreifer kann diese Schwachstellen ausnutzen, um Sicherheitsmaßnahmen zu umgehen, vertrauliche Informationen offenzulegen, einen Denial-of-Service-Zustand herbeizuführen und nicht spezifizierte Auswirkungen zu verursachen. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion oder erhöhte Rechte.",
            },
         ],
         product_status: {
            known_affected: [
               "T025751",
            ],
            last_affected: [
               "T024051",
            ],
         },
         release_date: "2023-01-04T23:00:00.000+00:00",
         title: "CVE-2022-24823",
      },
      {
         cve: "CVE-2022-2048",
         notes: [
            {
               category: "description",
               text: "In IBM Tivoli Network Manager existieren mehrere Schwachstellen. Die Fehler bestehen in verschiedenen Komponenten von Drittanbietern wie Google Web Toolkit, Eclipse BIRT, Apache Batik, Apache Derby, Eclipse Equinox, FasterXML jackson-databind, Eclipse Jetty, Netty und JDBC. Ein entfernter Angreifer kann diese Schwachstellen ausnutzen, um Sicherheitsmaßnahmen zu umgehen, vertrauliche Informationen offenzulegen, einen Denial-of-Service-Zustand herbeizuführen und nicht spezifizierte Auswirkungen zu verursachen. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion oder erhöhte Rechte.",
            },
         ],
         product_status: {
            known_affected: [
               "T025751",
            ],
            last_affected: [
               "T024051",
            ],
         },
         release_date: "2023-01-04T23:00:00.000+00:00",
         title: "CVE-2022-2048",
      },
      {
         cve: "CVE-2022-2047",
         notes: [
            {
               category: "description",
               text: "In IBM Tivoli Network Manager existieren mehrere Schwachstellen. Die Fehler bestehen in verschiedenen Komponenten von Drittanbietern wie Google Web Toolkit, Eclipse BIRT, Apache Batik, Apache Derby, Eclipse Equinox, FasterXML jackson-databind, Eclipse Jetty, Netty und JDBC. Ein entfernter Angreifer kann diese Schwachstellen ausnutzen, um Sicherheitsmaßnahmen zu umgehen, vertrauliche Informationen offenzulegen, einen Denial-of-Service-Zustand herbeizuführen und nicht spezifizierte Auswirkungen zu verursachen. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion oder erhöhte Rechte.",
            },
         ],
         product_status: {
            known_affected: [
               "T025751",
            ],
            last_affected: [
               "T024051",
            ],
         },
         release_date: "2023-01-04T23:00:00.000+00:00",
         title: "CVE-2022-2047",
      },
      {
         cve: "CVE-2021-41033",
         notes: [
            {
               category: "description",
               text: "In IBM Tivoli Network Manager existieren mehrere Schwachstellen. Die Fehler bestehen in verschiedenen Komponenten von Drittanbietern wie Google Web Toolkit, Eclipse BIRT, Apache Batik, Apache Derby, Eclipse Equinox, FasterXML jackson-databind, Eclipse Jetty, Netty und JDBC. Ein entfernter Angreifer kann diese Schwachstellen ausnutzen, um Sicherheitsmaßnahmen zu umgehen, vertrauliche Informationen offenzulegen, einen Denial-of-Service-Zustand herbeizuführen und nicht spezifizierte Auswirkungen zu verursachen. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion oder erhöhte Rechte.",
            },
         ],
         product_status: {
            known_affected: [
               "T025751",
            ],
            last_affected: [
               "T024051",
            ],
         },
         release_date: "2023-01-04T23:00:00.000+00:00",
         title: "CVE-2021-41033",
      },
      {
         cve: "CVE-2020-36518",
         notes: [
            {
               category: "description",
               text: "In IBM Tivoli Network Manager existieren mehrere Schwachstellen. Die Fehler bestehen in verschiedenen Komponenten von Drittanbietern wie Google Web Toolkit, Eclipse BIRT, Apache Batik, Apache Derby, Eclipse Equinox, FasterXML jackson-databind, Eclipse Jetty, Netty und JDBC. Ein entfernter Angreifer kann diese Schwachstellen ausnutzen, um Sicherheitsmaßnahmen zu umgehen, vertrauliche Informationen offenzulegen, einen Denial-of-Service-Zustand herbeizuführen und nicht spezifizierte Auswirkungen zu verursachen. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion oder erhöhte Rechte.",
            },
         ],
         product_status: {
            known_affected: [
               "T025751",
            ],
            last_affected: [
               "T024051",
            ],
         },
         release_date: "2023-01-04T23:00:00.000+00:00",
         title: "CVE-2020-36518",
      },
      {
         cve: "CVE-2020-11987",
         notes: [
            {
               category: "description",
               text: "In IBM Tivoli Network Manager existieren mehrere Schwachstellen. Die Fehler bestehen in verschiedenen Komponenten von Drittanbietern wie Google Web Toolkit, Eclipse BIRT, Apache Batik, Apache Derby, Eclipse Equinox, FasterXML jackson-databind, Eclipse Jetty, Netty und JDBC. Ein entfernter Angreifer kann diese Schwachstellen ausnutzen, um Sicherheitsmaßnahmen zu umgehen, vertrauliche Informationen offenzulegen, einen Denial-of-Service-Zustand herbeizuführen und nicht spezifizierte Auswirkungen zu verursachen. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion oder erhöhte Rechte.",
            },
         ],
         product_status: {
            known_affected: [
               "T025751",
            ],
            last_affected: [
               "T024051",
            ],
         },
         release_date: "2023-01-04T23:00:00.000+00:00",
         title: "CVE-2020-11987",
      },
      {
         cve: "CVE-2019-17566",
         notes: [
            {
               category: "description",
               text: "In IBM Tivoli Network Manager existieren mehrere Schwachstellen. Die Fehler bestehen in verschiedenen Komponenten von Drittanbietern wie Google Web Toolkit, Eclipse BIRT, Apache Batik, Apache Derby, Eclipse Equinox, FasterXML jackson-databind, Eclipse Jetty, Netty und JDBC. Ein entfernter Angreifer kann diese Schwachstellen ausnutzen, um Sicherheitsmaßnahmen zu umgehen, vertrauliche Informationen offenzulegen, einen Denial-of-Service-Zustand herbeizuführen und nicht spezifizierte Auswirkungen zu verursachen. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion oder erhöhte Rechte.",
            },
         ],
         product_status: {
            known_affected: [
               "T025751",
            ],
            last_affected: [
               "T024051",
            ],
         },
         release_date: "2023-01-04T23:00:00.000+00:00",
         title: "CVE-2019-17566",
      },
      {
         cve: "CVE-2018-8013",
         notes: [
            {
               category: "description",
               text: "In IBM Tivoli Network Manager existieren mehrere Schwachstellen. Die Fehler bestehen in verschiedenen Komponenten von Drittanbietern wie Google Web Toolkit, Eclipse BIRT, Apache Batik, Apache Derby, Eclipse Equinox, FasterXML jackson-databind, Eclipse Jetty, Netty und JDBC. Ein entfernter Angreifer kann diese Schwachstellen ausnutzen, um Sicherheitsmaßnahmen zu umgehen, vertrauliche Informationen offenzulegen, einen Denial-of-Service-Zustand herbeizuführen und nicht spezifizierte Auswirkungen zu verursachen. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion oder erhöhte Rechte.",
            },
         ],
         product_status: {
            known_affected: [
               "T025751",
            ],
            last_affected: [
               "T024051",
            ],
         },
         release_date: "2023-01-04T23:00:00.000+00:00",
         title: "CVE-2018-8013",
      },
      {
         cve: "CVE-2017-5662",
         notes: [
            {
               category: "description",
               text: "In IBM Tivoli Network Manager existieren mehrere Schwachstellen. Die Fehler bestehen in verschiedenen Komponenten von Drittanbietern wie Google Web Toolkit, Eclipse BIRT, Apache Batik, Apache Derby, Eclipse Equinox, FasterXML jackson-databind, Eclipse Jetty, Netty und JDBC. Ein entfernter Angreifer kann diese Schwachstellen ausnutzen, um Sicherheitsmaßnahmen zu umgehen, vertrauliche Informationen offenzulegen, einen Denial-of-Service-Zustand herbeizuführen und nicht spezifizierte Auswirkungen zu verursachen. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion oder erhöhte Rechte.",
            },
         ],
         product_status: {
            known_affected: [
               "T025751",
            ],
            last_affected: [
               "T024051",
            ],
         },
         release_date: "2023-01-04T23:00:00.000+00:00",
         title: "CVE-2017-5662",
      },
      {
         cve: "CVE-2016-3506",
         notes: [
            {
               category: "description",
               text: "In IBM Tivoli Network Manager existieren mehrere Schwachstellen. Die Fehler bestehen in verschiedenen Komponenten von Drittanbietern wie Google Web Toolkit, Eclipse BIRT, Apache Batik, Apache Derby, Eclipse Equinox, FasterXML jackson-databind, Eclipse Jetty, Netty und JDBC. Ein entfernter Angreifer kann diese Schwachstellen ausnutzen, um Sicherheitsmaßnahmen zu umgehen, vertrauliche Informationen offenzulegen, einen Denial-of-Service-Zustand herbeizuführen und nicht spezifizierte Auswirkungen zu verursachen. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion oder erhöhte Rechte.",
            },
         ],
         product_status: {
            known_affected: [
               "T025751",
            ],
            last_affected: [
               "T024051",
            ],
         },
         release_date: "2023-01-04T23:00:00.000+00:00",
         title: "CVE-2016-3506",
      },
      {
         cve: "CVE-2015-0250",
         notes: [
            {
               category: "description",
               text: "In IBM Tivoli Network Manager existieren mehrere Schwachstellen. Die Fehler bestehen in verschiedenen Komponenten von Drittanbietern wie Google Web Toolkit, Eclipse BIRT, Apache Batik, Apache Derby, Eclipse Equinox, FasterXML jackson-databind, Eclipse Jetty, Netty und JDBC. Ein entfernter Angreifer kann diese Schwachstellen ausnutzen, um Sicherheitsmaßnahmen zu umgehen, vertrauliche Informationen offenzulegen, einen Denial-of-Service-Zustand herbeizuführen und nicht spezifizierte Auswirkungen zu verursachen. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion oder erhöhte Rechte.",
            },
         ],
         product_status: {
            known_affected: [
               "T025751",
            ],
            last_affected: [
               "T024051",
            ],
         },
         release_date: "2023-01-04T23:00:00.000+00:00",
         title: "CVE-2015-0250",
      },
      {
         cve: "CVE-2009-4521",
         notes: [
            {
               category: "description",
               text: "In IBM Tivoli Network Manager existieren mehrere Schwachstellen. Die Fehler bestehen in verschiedenen Komponenten von Drittanbietern wie Google Web Toolkit, Eclipse BIRT, Apache Batik, Apache Derby, Eclipse Equinox, FasterXML jackson-databind, Eclipse Jetty, Netty und JDBC. Ein entfernter Angreifer kann diese Schwachstellen ausnutzen, um Sicherheitsmaßnahmen zu umgehen, vertrauliche Informationen offenzulegen, einen Denial-of-Service-Zustand herbeizuführen und nicht spezifizierte Auswirkungen zu verursachen. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion oder erhöhte Rechte.",
            },
         ],
         product_status: {
            known_affected: [
               "T025751",
            ],
            last_affected: [
               "T024051",
            ],
         },
         release_date: "2023-01-04T23:00:00.000+00:00",
         title: "CVE-2009-4521",
      },
      {
         cve: "CVE-2009-4269",
         notes: [
            {
               category: "description",
               text: "In IBM Tivoli Network Manager existieren mehrere Schwachstellen. Die Fehler bestehen in verschiedenen Komponenten von Drittanbietern wie Google Web Toolkit, Eclipse BIRT, Apache Batik, Apache Derby, Eclipse Equinox, FasterXML jackson-databind, Eclipse Jetty, Netty und JDBC. Ein entfernter Angreifer kann diese Schwachstellen ausnutzen, um Sicherheitsmaßnahmen zu umgehen, vertrauliche Informationen offenzulegen, einen Denial-of-Service-Zustand herbeizuführen und nicht spezifizierte Auswirkungen zu verursachen. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion oder erhöhte Rechte.",
            },
         ],
         product_status: {
            known_affected: [
               "T025751",
            ],
            last_affected: [
               "T024051",
            ],
         },
         release_date: "2023-01-04T23:00:00.000+00:00",
         title: "CVE-2009-4269",
      },
      {
         cve: "CVE-2007-2378",
         notes: [
            {
               category: "description",
               text: "In IBM Tivoli Network Manager existieren mehrere Schwachstellen. Die Fehler bestehen in verschiedenen Komponenten von Drittanbietern wie Google Web Toolkit, Eclipse BIRT, Apache Batik, Apache Derby, Eclipse Equinox, FasterXML jackson-databind, Eclipse Jetty, Netty und JDBC. Ein entfernter Angreifer kann diese Schwachstellen ausnutzen, um Sicherheitsmaßnahmen zu umgehen, vertrauliche Informationen offenzulegen, einen Denial-of-Service-Zustand herbeizuführen und nicht spezifizierte Auswirkungen zu verursachen. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion oder erhöhte Rechte.",
            },
         ],
         product_status: {
            known_affected: [
               "T025751",
            ],
            last_affected: [
               "T024051",
            ],
         },
         release_date: "2023-01-04T23:00:00.000+00:00",
         title: "CVE-2007-2378",
      },
   ],
}

WID-SEC-W-2023-0027

Vulnerability from csaf_certbund

Published

2023-01-04 23:00

Modified

2023-02-23 23:00

Summary

IBM Tivoli Network Manager: Mehrere Schwachstellen

Notes

Produktbeschreibung

IBM Tivoli Network Manager ist eine Netzanalysesoftware für das Management komplexer Netze. Diese Software erfasst und verteilt Layer-2- und Layer-3-Netzdaten.

Angriff

Betroffene Betriebssysteme

- Linux - Sonstiges

JSON

To clipboard

{
   document: {
      aggregate_severity: {
         text: "hoch",
      },
      category: "csaf_base",
      csaf_version: "2.0",
      distribution: {
         tlp: {
            label: "WHITE",
            url: "https://www.first.org/tlp/",
         },
      },
      lang: "de-DE",
      notes: [
         {
            category: "legal_disclaimer",
            text: "Das BSI ist als Anbieter für die eigenen, zur Nutzung bereitgestellten Inhalte nach den allgemeinen Gesetzen verantwortlich. Nutzerinnen und Nutzer sind jedoch dafür verantwortlich, die Verwendung und/oder die Umsetzung der mit den Inhalten bereitgestellten Informationen sorgfältig im Einzelfall zu prüfen.",
         },
         {
            category: "description",
            text: "IBM Tivoli Network Manager ist eine Netzanalysesoftware für das Management komplexer Netze. Diese Software erfasst und verteilt Layer-2- und Layer-3-Netzdaten.",
            title: "Produktbeschreibung",
         },
         {
            category: "summary",
            text: "Ein entfernter, anonymer oder authentisierter Angreifer kann mehrere Schwachstellen in IBM Tivoli Network Manager ausnutzen, um Sicherheitsmaßnahmen zu umgehen, vertrauliche Informationen offenzulegen, einen Denial-of-Service-Zustand herbeizuführen und nicht spezifizierte Auswirkungen zu verursachen.",
            title: "Angriff",
         },
         {
            category: "general",
            text: "- Linux\n- Sonstiges",
            title: "Betroffene Betriebssysteme",
         },
      ],
      publisher: {
         category: "other",
         contact_details: "csaf-provider@cert-bund.de",
         name: "Bundesamt für Sicherheit in der Informationstechnik",
         namespace: "https://www.bsi.bund.de",
      },
      references: [
         {
            category: "self",
            summary: "WID-SEC-W-2023-0027 - CSAF Version",
            url: "https://wid.cert-bund.de/.well-known/csaf/white/2023/wid-sec-w-2023-0027.json",
         },
         {
            category: "self",
            summary: "WID-SEC-2023-0027 - Portal Version",
            url: "https://wid.cert-bund.de/portal/wid/securityadvisory?name=WID-SEC-2023-0027",
         },
         {
            category: "external",
            summary: "IBM Security Bulletin 6958056 vom 2023-02-24",
            url: "https://www.ibm.com/support/pages/node/6958056",
         },
         {
            category: "external",
            summary: "IBM Security Advisory vom 2023-01-04",
            url: "https://www.ibm.com/support/pages/node/6852633",
         },
         {
            category: "external",
            summary: "IBM Security Advisory vom 2023-01-04",
            url: "https://www.ibm.com/support/pages/node/6852613",
         },
         {
            category: "external",
            summary: "IBM Security Advisory vom 2023-01-04",
            url: "https://www.ibm.com/support/pages/node/6852611",
         },
         {
            category: "external",
            summary: "IBM Security Advisory vom 2023-01-04",
            url: "https://www.ibm.com/support/pages/node/6852609",
         },
      ],
      source_lang: "en-US",
      title: "IBM Tivoli Network Manager: Mehrere Schwachstellen",
      tracking: {
         current_release_date: "2023-02-23T23:00:00.000+00:00",
         generator: {
            date: "2024-08-15T17:40:51.947+00:00",
            engine: {
               name: "BSI-WID",
               version: "1.3.5",
            },
         },
         id: "WID-SEC-W-2023-0027",
         initial_release_date: "2023-01-04T23:00:00.000+00:00",
         revision_history: [
            {
               date: "2023-01-04T23:00:00.000+00:00",
               number: "1",
               summary: "Initiale Fassung",
            },
            {
               date: "2023-02-23T23:00:00.000+00:00",
               number: "2",
               summary: "Neue Updates von IBM aufgenommen",
            },
         ],
         status: "final",
         version: "2",
      },
   },
   product_tree: {
      branches: [
         {
            branches: [
               {
                  branches: [
                     {
                        category: "product_name",
                        name: "IBM Tivoli Network Manager <= 4.2.0.15",
                        product: {
                           name: "IBM Tivoli Network Manager <= 4.2.0.15",
                           product_id: "T024051",
                           product_identification_helper: {
                              cpe: "cpe:/a:ibm:tivoli_network_manager:4.2.0.15",
                           },
                        },
                     },
                     {
                        category: "product_name",
                        name: "IBM Tivoli Network Manager 4.2.0",
                        product: {
                           name: "IBM Tivoli Network Manager 4.2.0",
                           product_id: "T025751",
                           product_identification_helper: {
                              cpe: "cpe:/a:ibm:tivoli_network_manager:4.2.0",
                           },
                        },
                     },
                  ],
                  category: "product_name",
                  name: "Tivoli Network Manager",
               },
            ],
            category: "vendor",
            name: "IBM",
         },
      ],
   },
   vulnerabilities: [
      {
         cve: "CVE-2022-24823",
         notes: [
            {
               category: "description",
               text: "In IBM Tivoli Network Manager existieren mehrere Schwachstellen. Die Fehler bestehen in verschiedenen Komponenten von Drittanbietern wie Google Web Toolkit, Eclipse BIRT, Apache Batik, Apache Derby, Eclipse Equinox, FasterXML jackson-databind, Eclipse Jetty, Netty und JDBC. Ein entfernter Angreifer kann diese Schwachstellen ausnutzen, um Sicherheitsmaßnahmen zu umgehen, vertrauliche Informationen offenzulegen, einen Denial-of-Service-Zustand herbeizuführen und nicht spezifizierte Auswirkungen zu verursachen. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion oder erhöhte Rechte.",
            },
         ],
         product_status: {
            known_affected: [
               "T025751",
            ],
            last_affected: [
               "T024051",
            ],
         },
         release_date: "2023-01-04T23:00:00.000+00:00",
         title: "CVE-2022-24823",
      },
      {
         cve: "CVE-2022-2048",
         notes: [
            {
               category: "description",
               text: "In IBM Tivoli Network Manager existieren mehrere Schwachstellen. Die Fehler bestehen in verschiedenen Komponenten von Drittanbietern wie Google Web Toolkit, Eclipse BIRT, Apache Batik, Apache Derby, Eclipse Equinox, FasterXML jackson-databind, Eclipse Jetty, Netty und JDBC. Ein entfernter Angreifer kann diese Schwachstellen ausnutzen, um Sicherheitsmaßnahmen zu umgehen, vertrauliche Informationen offenzulegen, einen Denial-of-Service-Zustand herbeizuführen und nicht spezifizierte Auswirkungen zu verursachen. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion oder erhöhte Rechte.",
            },
         ],
         product_status: {
            known_affected: [
               "T025751",
            ],
            last_affected: [
               "T024051",
            ],
         },
         release_date: "2023-01-04T23:00:00.000+00:00",
         title: "CVE-2022-2048",
      },
      {
         cve: "CVE-2022-2047",
         notes: [
            {
               category: "description",
               text: "In IBM Tivoli Network Manager existieren mehrere Schwachstellen. Die Fehler bestehen in verschiedenen Komponenten von Drittanbietern wie Google Web Toolkit, Eclipse BIRT, Apache Batik, Apache Derby, Eclipse Equinox, FasterXML jackson-databind, Eclipse Jetty, Netty und JDBC. Ein entfernter Angreifer kann diese Schwachstellen ausnutzen, um Sicherheitsmaßnahmen zu umgehen, vertrauliche Informationen offenzulegen, einen Denial-of-Service-Zustand herbeizuführen und nicht spezifizierte Auswirkungen zu verursachen. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion oder erhöhte Rechte.",
            },
         ],
         product_status: {
            known_affected: [
               "T025751",
            ],
            last_affected: [
               "T024051",
            ],
         },
         release_date: "2023-01-04T23:00:00.000+00:00",
         title: "CVE-2022-2047",
      },
      {
         cve: "CVE-2021-41033",
         notes: [
            {
               category: "description",
               text: "In IBM Tivoli Network Manager existieren mehrere Schwachstellen. Die Fehler bestehen in verschiedenen Komponenten von Drittanbietern wie Google Web Toolkit, Eclipse BIRT, Apache Batik, Apache Derby, Eclipse Equinox, FasterXML jackson-databind, Eclipse Jetty, Netty und JDBC. Ein entfernter Angreifer kann diese Schwachstellen ausnutzen, um Sicherheitsmaßnahmen zu umgehen, vertrauliche Informationen offenzulegen, einen Denial-of-Service-Zustand herbeizuführen und nicht spezifizierte Auswirkungen zu verursachen. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion oder erhöhte Rechte.",
            },
         ],
         product_status: {
            known_affected: [
               "T025751",
            ],
            last_affected: [
               "T024051",
            ],
         },
         release_date: "2023-01-04T23:00:00.000+00:00",
         title: "CVE-2021-41033",
      },
      {
         cve: "CVE-2020-36518",
         notes: [
            {
               category: "description",
               text: "In IBM Tivoli Network Manager existieren mehrere Schwachstellen. Die Fehler bestehen in verschiedenen Komponenten von Drittanbietern wie Google Web Toolkit, Eclipse BIRT, Apache Batik, Apache Derby, Eclipse Equinox, FasterXML jackson-databind, Eclipse Jetty, Netty und JDBC. Ein entfernter Angreifer kann diese Schwachstellen ausnutzen, um Sicherheitsmaßnahmen zu umgehen, vertrauliche Informationen offenzulegen, einen Denial-of-Service-Zustand herbeizuführen und nicht spezifizierte Auswirkungen zu verursachen. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion oder erhöhte Rechte.",
            },
         ],
         product_status: {
            known_affected: [
               "T025751",
            ],
            last_affected: [
               "T024051",
            ],
         },
         release_date: "2023-01-04T23:00:00.000+00:00",
         title: "CVE-2020-36518",
      },
      {
         cve: "CVE-2020-11987",
         notes: [
            {
               category: "description",
               text: "In IBM Tivoli Network Manager existieren mehrere Schwachstellen. Die Fehler bestehen in verschiedenen Komponenten von Drittanbietern wie Google Web Toolkit, Eclipse BIRT, Apache Batik, Apache Derby, Eclipse Equinox, FasterXML jackson-databind, Eclipse Jetty, Netty und JDBC. Ein entfernter Angreifer kann diese Schwachstellen ausnutzen, um Sicherheitsmaßnahmen zu umgehen, vertrauliche Informationen offenzulegen, einen Denial-of-Service-Zustand herbeizuführen und nicht spezifizierte Auswirkungen zu verursachen. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion oder erhöhte Rechte.",
            },
         ],
         product_status: {
            known_affected: [
               "T025751",
            ],
            last_affected: [
               "T024051",
            ],
         },
         release_date: "2023-01-04T23:00:00.000+00:00",
         title: "CVE-2020-11987",
      },
      {
         cve: "CVE-2019-17566",
         notes: [
            {
               category: "description",
               text: "In IBM Tivoli Network Manager existieren mehrere Schwachstellen. Die Fehler bestehen in verschiedenen Komponenten von Drittanbietern wie Google Web Toolkit, Eclipse BIRT, Apache Batik, Apache Derby, Eclipse Equinox, FasterXML jackson-databind, Eclipse Jetty, Netty und JDBC. Ein entfernter Angreifer kann diese Schwachstellen ausnutzen, um Sicherheitsmaßnahmen zu umgehen, vertrauliche Informationen offenzulegen, einen Denial-of-Service-Zustand herbeizuführen und nicht spezifizierte Auswirkungen zu verursachen. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion oder erhöhte Rechte.",
            },
         ],
         product_status: {
            known_affected: [
               "T025751",
            ],
            last_affected: [
               "T024051",
            ],
         },
         release_date: "2023-01-04T23:00:00.000+00:00",
         title: "CVE-2019-17566",
      },
      {
         cve: "CVE-2018-8013",
         notes: [
            {
               category: "description",
               text: "In IBM Tivoli Network Manager existieren mehrere Schwachstellen. Die Fehler bestehen in verschiedenen Komponenten von Drittanbietern wie Google Web Toolkit, Eclipse BIRT, Apache Batik, Apache Derby, Eclipse Equinox, FasterXML jackson-databind, Eclipse Jetty, Netty und JDBC. Ein entfernter Angreifer kann diese Schwachstellen ausnutzen, um Sicherheitsmaßnahmen zu umgehen, vertrauliche Informationen offenzulegen, einen Denial-of-Service-Zustand herbeizuführen und nicht spezifizierte Auswirkungen zu verursachen. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion oder erhöhte Rechte.",
            },
         ],
         product_status: {
            known_affected: [
               "T025751",
            ],
            last_affected: [
               "T024051",
            ],
         },
         release_date: "2023-01-04T23:00:00.000+00:00",
         title: "CVE-2018-8013",
      },
      {
         cve: "CVE-2017-5662",
         notes: [
            {
               category: "description",
               text: "In IBM Tivoli Network Manager existieren mehrere Schwachstellen. Die Fehler bestehen in verschiedenen Komponenten von Drittanbietern wie Google Web Toolkit, Eclipse BIRT, Apache Batik, Apache Derby, Eclipse Equinox, FasterXML jackson-databind, Eclipse Jetty, Netty und JDBC. Ein entfernter Angreifer kann diese Schwachstellen ausnutzen, um Sicherheitsmaßnahmen zu umgehen, vertrauliche Informationen offenzulegen, einen Denial-of-Service-Zustand herbeizuführen und nicht spezifizierte Auswirkungen zu verursachen. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion oder erhöhte Rechte.",
            },
         ],
         product_status: {
            known_affected: [
               "T025751",
            ],
            last_affected: [
               "T024051",
            ],
         },
         release_date: "2023-01-04T23:00:00.000+00:00",
         title: "CVE-2017-5662",
      },
      {
         cve: "CVE-2016-3506",
         notes: [
            {
               category: "description",
               text: "In IBM Tivoli Network Manager existieren mehrere Schwachstellen. Die Fehler bestehen in verschiedenen Komponenten von Drittanbietern wie Google Web Toolkit, Eclipse BIRT, Apache Batik, Apache Derby, Eclipse Equinox, FasterXML jackson-databind, Eclipse Jetty, Netty und JDBC. Ein entfernter Angreifer kann diese Schwachstellen ausnutzen, um Sicherheitsmaßnahmen zu umgehen, vertrauliche Informationen offenzulegen, einen Denial-of-Service-Zustand herbeizuführen und nicht spezifizierte Auswirkungen zu verursachen. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion oder erhöhte Rechte.",
            },
         ],
         product_status: {
            known_affected: [
               "T025751",
            ],
            last_affected: [
               "T024051",
            ],
         },
         release_date: "2023-01-04T23:00:00.000+00:00",
         title: "CVE-2016-3506",
      },
      {
         cve: "CVE-2015-0250",
         notes: [
            {
               category: "description",
               text: "In IBM Tivoli Network Manager existieren mehrere Schwachstellen. Die Fehler bestehen in verschiedenen Komponenten von Drittanbietern wie Google Web Toolkit, Eclipse BIRT, Apache Batik, Apache Derby, Eclipse Equinox, FasterXML jackson-databind, Eclipse Jetty, Netty und JDBC. Ein entfernter Angreifer kann diese Schwachstellen ausnutzen, um Sicherheitsmaßnahmen zu umgehen, vertrauliche Informationen offenzulegen, einen Denial-of-Service-Zustand herbeizuführen und nicht spezifizierte Auswirkungen zu verursachen. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion oder erhöhte Rechte.",
            },
         ],
         product_status: {
            known_affected: [
               "T025751",
            ],
            last_affected: [
               "T024051",
            ],
         },
         release_date: "2023-01-04T23:00:00.000+00:00",
         title: "CVE-2015-0250",
      },
      {
         cve: "CVE-2009-4521",
         notes: [
            {
               category: "description",
               text: "In IBM Tivoli Network Manager existieren mehrere Schwachstellen. Die Fehler bestehen in verschiedenen Komponenten von Drittanbietern wie Google Web Toolkit, Eclipse BIRT, Apache Batik, Apache Derby, Eclipse Equinox, FasterXML jackson-databind, Eclipse Jetty, Netty und JDBC. Ein entfernter Angreifer kann diese Schwachstellen ausnutzen, um Sicherheitsmaßnahmen zu umgehen, vertrauliche Informationen offenzulegen, einen Denial-of-Service-Zustand herbeizuführen und nicht spezifizierte Auswirkungen zu verursachen. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion oder erhöhte Rechte.",
            },
         ],
         product_status: {
            known_affected: [
               "T025751",
            ],
            last_affected: [
               "T024051",
            ],
         },
         release_date: "2023-01-04T23:00:00.000+00:00",
         title: "CVE-2009-4521",
      },
      {
         cve: "CVE-2009-4269",
         notes: [
            {
               category: "description",
               text: "In IBM Tivoli Network Manager existieren mehrere Schwachstellen. Die Fehler bestehen in verschiedenen Komponenten von Drittanbietern wie Google Web Toolkit, Eclipse BIRT, Apache Batik, Apache Derby, Eclipse Equinox, FasterXML jackson-databind, Eclipse Jetty, Netty und JDBC. Ein entfernter Angreifer kann diese Schwachstellen ausnutzen, um Sicherheitsmaßnahmen zu umgehen, vertrauliche Informationen offenzulegen, einen Denial-of-Service-Zustand herbeizuführen und nicht spezifizierte Auswirkungen zu verursachen. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion oder erhöhte Rechte.",
            },
         ],
         product_status: {
            known_affected: [
               "T025751",
            ],
            last_affected: [
               "T024051",
            ],
         },
         release_date: "2023-01-04T23:00:00.000+00:00",
         title: "CVE-2009-4269",
      },
      {
         cve: "CVE-2007-2378",
         notes: [
            {
               category: "description",
               text: "In IBM Tivoli Network Manager existieren mehrere Schwachstellen. Die Fehler bestehen in verschiedenen Komponenten von Drittanbietern wie Google Web Toolkit, Eclipse BIRT, Apache Batik, Apache Derby, Eclipse Equinox, FasterXML jackson-databind, Eclipse Jetty, Netty und JDBC. Ein entfernter Angreifer kann diese Schwachstellen ausnutzen, um Sicherheitsmaßnahmen zu umgehen, vertrauliche Informationen offenzulegen, einen Denial-of-Service-Zustand herbeizuführen und nicht spezifizierte Auswirkungen zu verursachen. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion oder erhöhte Rechte.",
            },
         ],
         product_status: {
            known_affected: [
               "T025751",
            ],
            last_affected: [
               "T024051",
            ],
         },
         release_date: "2023-01-04T23:00:00.000+00:00",
         title: "CVE-2007-2378",
      },
   ],
}

ghsa-c5fh-3q27-g4r5

Vulnerability from github

Published

2022-05-24 22:01

Modified

2022-05-24 22:01

Details

Show details on source website

JSON

To clipboard

{
   affected: [],
   aliases: [
      "CVE-2021-41033",
   ],
   database_specific: {
      cwe_ids: [
         "CWE-300",
      ],
      github_reviewed: false,
      github_reviewed_at: null,
      nvd_published_at: "2021-09-13T21:15:00Z",
      severity: "HIGH",
   },
   details: "In all released versions of Eclipse Equinox, at least until version 4.21 (September 2021), installation can be vulnerable to man-in-the-middle attack if using p2 repos that are HTTP; that can then be exploited to serve incorrect p2 metadata and entirely alter the local installation, particularly by installing plug-ins that may then run malicious code.",
   id: "GHSA-c5fh-3q27-g4r5",
   modified: "2022-05-24T22:01:46Z",
   published: "2022-05-24T22:01:46Z",
   references: [
      {
         type: "ADVISORY",
         url: "https://nvd.nist.gov/vuln/detail/CVE-2021-41033",
      },
      {
         type: "WEB",
         url: "https://bugs.eclipse.org/bugs/show_bug.cgi?id=575688",
      },
   ],
   schema_version: "1.4.0",
   severity: [],
}

gsd-2021-41033

Vulnerability from gsd

Modified

2023-12-13 01:23

Details

Aliases

CVE-2021-41033

Aliases

CVE-2021-41033

JSON

To clipboard

{
   GSD: {
      alias: "CVE-2021-41033",
      description: "In all released versions of Eclipse Equinox, at least until version 4.21 (September 2021), installation can be vulnerable to man-in-the-middle attack if using p2 repos that are HTTP; that can then be exploited to serve incorrect p2 metadata and entirely alter the local installation, particularly by installing plug-ins that may then run malicious code.",
      id: "GSD-2021-41033",
   },
   gsd: {
      metadata: {
         exploitCode: "unknown",
         remediation: "unknown",
         reportConfidence: "confirmed",
         type: "vulnerability",
      },
      osvSchema: {
         aliases: [
            "CVE-2021-41033",
         ],
         details: "In all released versions of Eclipse Equinox, at least until version 4.21 (September 2021), installation can be vulnerable to man-in-the-middle attack if using p2 repos that are HTTP; that can then be exploited to serve incorrect p2 metadata and entirely alter the local installation, particularly by installing plug-ins that may then run malicious code.",
         id: "GSD-2021-41033",
         modified: "2023-12-13T01:23:27.562484Z",
         schema_version: "1.4.0",
      },
   },
   namespaces: {
      "cve.org": {
         CVE_data_meta: {
            ASSIGNER: "security@eclipse.org",
            ID: "CVE-2021-41033",
            STATE: "PUBLIC",
         },
         affects: {
            vendor: {
               vendor_data: [
                  {
                     product: {
                        product_data: [
                           {
                              product_name: "Eclipse Equinox",
                              version: {
                                 version_data: [
                                    {
                                       version_affected: "?<=",
                                       version_value: "4.21",
                                    },
                                 ],
                              },
                           },
                        ],
                     },
                     vendor_name: "The Eclipse Foundation",
                  },
               ],
            },
         },
         data_format: "MITRE",
         data_type: "CVE",
         data_version: "4.0",
         description: {
            description_data: [
               {
                  lang: "eng",
                  value: "In all released versions of Eclipse Equinox, at least until version 4.21 (September 2021), installation can be vulnerable to man-in-the-middle attack if using p2 repos that are HTTP; that can then be exploited to serve incorrect p2 metadata and entirely alter the local installation, particularly by installing plug-ins that may then run malicious code.",
               },
            ],
         },
         problemtype: {
            problemtype_data: [
               {
                  description: [
                     {
                        lang: "eng",
                        value: "CWE-300",
                     },
                  ],
               },
            ],
         },
         references: {
            reference_data: [
               {
                  name: "https://bugs.eclipse.org/bugs/show_bug.cgi?id=575688",
                  refsource: "CONFIRM",
                  url: "https://bugs.eclipse.org/bugs/show_bug.cgi?id=575688",
               },
            ],
         },
      },
      "gitlab.com": {
         advisories: [
            {
               affected_range: "(,4.21)",
               affected_versions: "All versions before 4.21",
               cvss_v2: "AV:N/AC:M/Au:N/C:P/I:P/A:P",
               cvss_v3: "CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H",
               cwe_ids: [
                  "CWE-1035",
                  "CWE-937",
               ],
               date: "2021-09-24",
               description: "Eclipse Equinox installations can be vulnerable to man-in-the-middle attacks if using `p2` repos that are HTTP; that can then be exploited to serve incorrect `p2` metadata and entirely alter the local installation, particularly by installing plug-ins that may then run malicious code.",
               fixed_versions: [
                  "4.21",
               ],
               identifier: "CVE-2021-41033",
               identifiers: [
                  "CVE-2021-41033",
               ],
               not_impacted: "All versions starting from 4.21",
               package_slug: "maven/org.glassfish.osgi-platforms/equinox",
               pubdate: "2021-09-13",
               solution: "Upgrade to version 4.21 or above.",
               title: "Channel Accessible by Non-Endpoint",
               urls: [
                  "https://nvd.nist.gov/vuln/detail/CVE-2021-41033",
                  "https://bugs.eclipse.org/bugs/show_bug.cgi?id=575688",
               ],
               uuid: "2d24fb6b-66a3-4400-9ec9-ca7a98924e2b",
            },
         ],
      },
      "nvd.nist.gov": {
         configurations: {
            CVE_data_version: "4.0",
            nodes: [
               {
                  children: [],
                  cpe_match: [
                     {
                        cpe23Uri: "cpe:2.3:a:eclipse:equinox:*:*:*:*:*:*:*:*",
                        cpe_name: [],
                        versionEndExcluding: "4.21",
                        vulnerable: true,
                     },
                     {
                        cpe23Uri: "cpe:2.3:a:eclipse:equinox:4.21:*:*:*:*:*:*:*",
                        cpe_name: [],
                        vulnerable: true,
                     },
                  ],
                  operator: "OR",
               },
            ],
         },
         cve: {
            CVE_data_meta: {
               ASSIGNER: "security@eclipse.org",
               ID: "CVE-2021-41033",
            },
            data_format: "MITRE",
            data_type: "CVE",
            data_version: "4.0",
            description: {
               description_data: [
                  {
                     lang: "en",
                     value: "In all released versions of Eclipse Equinox, at least until version 4.21 (September 2021), installation can be vulnerable to man-in-the-middle attack if using p2 repos that are HTTP; that can then be exploited to serve incorrect p2 metadata and entirely alter the local installation, particularly by installing plug-ins that may then run malicious code.",
                  },
               ],
            },
            problemtype: {
               problemtype_data: [
                  {
                     description: [
                        {
                           lang: "en",
                           value: "NVD-CWE-noinfo",
                        },
                     ],
                  },
               ],
            },
            references: {
               reference_data: [
                  {
                     name: "https://bugs.eclipse.org/bugs/show_bug.cgi?id=575688",
                     refsource: "CONFIRM",
                     tags: [
                        "Vendor Advisory",
                     ],
                     url: "https://bugs.eclipse.org/bugs/show_bug.cgi?id=575688",
                  },
               ],
            },
         },
         impact: {
            baseMetricV2: {
               acInsufInfo: false,
               cvssV2: {
                  accessComplexity: "MEDIUM",
                  accessVector: "NETWORK",
                  authentication: "NONE",
                  availabilityImpact: "PARTIAL",
                  baseScore: 6.8,
                  confidentialityImpact: "PARTIAL",
                  integrityImpact: "PARTIAL",
                  vectorString: "AV:N/AC:M/Au:N/C:P/I:P/A:P",
                  version: "2.0",
               },
               exploitabilityScore: 8.6,
               impactScore: 6.4,
               obtainAllPrivilege: false,
               obtainOtherPrivilege: false,
               obtainUserPrivilege: false,
               severity: "MEDIUM",
               userInteractionRequired: false,
            },
            baseMetricV3: {
               cvssV3: {
                  attackComplexity: "HIGH",
                  attackVector: "NETWORK",
                  availabilityImpact: "HIGH",
                  baseScore: 8.1,
                  baseSeverity: "HIGH",
                  confidentialityImpact: "HIGH",
                  integrityImpact: "HIGH",
                  privilegesRequired: "NONE",
                  scope: "UNCHANGED",
                  userInteraction: "NONE",
                  vectorString: "CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H",
                  version: "3.1",
               },
               exploitabilityScore: 2.2,
               impactScore: 5.9,
            },
         },
         lastModifiedDate: "2021-09-24T18:26Z",
         publishedDate: "2021-09-13T21:15Z",
      },
   },
}

All sightings related to this event Export sightings related to this event

Sightings

Author	Source	Type	Date

Nomenclature

Seen: The vulnerability was mentioned, discussed, or seen somewhere by the user.
Confirmed: The vulnerability is confirmed from an analyst perspective.
Exploited: This vulnerability was exploited and seen by the user reporting the sighting.
Patched: This vulnerability was successfully patched by the user reporting the sighting.
Not exploited: This vulnerability was not exploited or seen by the user reporting the sighting.
Not confirmed: The user expresses doubt about the veracity of the vulnerability.
Not patched: This vulnerability was not successfully patched by the user reporting the sighting.

Action not permitted

cve-2021-41033

Vulnerability from cvelistv5

fkie_cve-2021-41033

Vulnerability from fkie_nvd

wid-sec-w-2023-0027

Vulnerability from csaf_certbund

WID-SEC-W-2023-0027

Vulnerability from csaf_certbund

ghsa-c5fh-3q27-g4r5

Vulnerability from github

gsd-2021-41033

Vulnerability from gsd

Tags

Sightings

Nomenclature