Vulnerabilidad en IBM Business Automation Workflow e IBM Business Process Manager (CVE-2019-4149)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-79
Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)
Fecha de publicación:
05/09/2019
Última modificación:
09/12/2022
Descripción
IBM Business Automation Workflow versión 18.0.0.0 hasta la versión 18.0.0.2 e IBM Business Process Manager versión 8.6.0.0 hasta la versión 8.6.0.0 Cumulative Fix 2018.03, versión 8.5.7.0 hasta la versión 8.5.7.0 Cumulative Fix 2017.06, y versión 8.5.6.0 hasta la versión 8.5.6.0 CF2 es vulnerable a Cross-Site Scripting (XSS). Esta vulnerabilidad permite a los usuarios incrustar código JavaScript arbitrario en la interfaz de usuario web, lo que altera la funcionalidad prevista que puede conducir a la divulgación de credenciales dentro de una sesión de confianza. ID de IBM X-Force: 158415.
Impacto
Puntuación base 3.x
5.40
Gravedad 3.x
MEDIA
Puntuación base 2.0
3.50
Gravedad 2.0
BAJA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:ibm:business_automation_workflow:*:*:*:*:*:*:*:* | 18.0.0.0 (incluyendo) | 18.0.0.2 (incluyendo) |
| cpe:2.3:a:ibm:business_process_manager:8.5.6.0:-:*:*:*:*:*:* | ||
| cpe:2.3:a:ibm:business_process_manager:8.5.6.0:cf1:*:*:*:*:*:* | ||
| cpe:2.3:a:ibm:business_process_manager:8.5.6.0:cf2:*:*:*:*:*:* | ||
| cpe:2.3:a:ibm:business_process_manager:8.5.7.0:-:*:*:*:*:*:* | ||
| cpe:2.3:a:ibm:business_process_manager:8.5.7.0:cf201706:*:*:*:*:*:* | ||
| cpe:2.3:a:ibm:business_process_manager:8.6.0.0:-:*:*:*:*:*:* | ||
| cpe:2.3:a:ibm:business_process_manager:8.6.0.0:cf201712:*:*:*:*:*:* | ||
| cpe:2.3:a:ibm:business_process_manager:8.6.0.0:cf201803:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página