Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2021-05529

Опубликовано: 07 мая 2020
Источник: fstec
CVSS3: 9
CVSS2: 9
EPSS Критический

Описание

Уязвимость реализации технологии SAML (Security Assertion Markup Language) приложения для выявления, анализа и визуализация бизнес-рисков IBM Data Risk Manager связана с недостатками механизма аутентификации. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, обойти механизмы безопасности путем отправки специально созданных HTTP-запросов

Вендор

IBM Corp.

Наименование ПО

IBM Data Risk Manager

Версия ПО

от 2.0.1 до 2.0.6 включительно (IBM Data Risk Manager)

Тип ПО

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 9)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9)

Возможные меры по устранению уязвимости

Использование рекомендаций:
https://www.ibm.com/support/pages/node/6206875

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 100%
0.90345
Критический

9 Critical

CVSS3

9 Critical

CVSS2

Связанные уязвимости

nvd логотип

CVE-2020-4427

CVSS3: 9.8
nvd
почти 6 лет назад

IBM Data Risk Manager 2.0.1, 2.0.2, 2.0.3, 2.0.4, 2.0.5, and 2.0.6 could allow a remote attacker to bypass security restrictions when configured with SAML authentication. By sending a specially crafted HTTP request, an attacker could exploit this vulnerability to bypass the authentication process and gain full administrative access to the system. IBM X-Force ID: 180532.

github логотип

GHSA-24c2-gvwg-5p45

CVSS3: 9.8
github
больше 3 лет назад

IBM Data Risk Manager 2.0.1, 2.0.2, 2.0.3, 2.0.4, 2.0.5, and 2.0.6 could allow a remote attacker to bypass security restrictions when configured with SAML authentication. By sending a specially crafted HTTP request, an attacker could exploit this vulnerability to bypass the authentication process and gain full administrative access to the system. IBM X-Force ID: 180532.

EPSS

Процентиль: 100%
0.90345
Критический

9 Critical

CVSS3

9 Critical

CVSS2