L'équipe Vigil@nce veille les vulnérabilités publiques qui affectent votre parc informatique, puis propose des correctifs sécurité, une base et des outils pour y remédier.

Vulnérabilités informatiques de IBM API Connect

alerte de faille CVE-2019-4460

IBM API Connect : traversée de répertoire

Synthèse de la vulnérabilité

Un attaquant peut traverser les répertoires de IBM API Connect, afin de lire un fichier situé hors de la racine du service.
Gravité : 2/4.
Date création : 21/08/2019.
Références : CVE-2019-4460, ibm10960848, VIGILANCE-VUL-30119.
Bulletin Vigil@nce complet... (Essai gratuit)

Description de la vulnérabilité

Un attaquant peut traverser les répertoires de IBM API Connect, afin de lire un fichier situé hors de la racine du service.
Bulletin Vigil@nce complet... (Essai gratuit)

avis cybersécurité CVE-2019-4437

IBM API Connect : obtention d'information via API Swagger

Synthèse de la vulnérabilité

Un attaquant peut contourner les restrictions d'accès aux données via API Swagger de IBM API Connect, afin d'obtenir des informations sensibles.
Gravité : 2/4.
Date création : 21/08/2019.
Références : CVE-2019-4437, ibm10960876, VIGILANCE-VUL-30118.
Bulletin Vigil@nce complet... (Essai gratuit)

Description de la vulnérabilité

Un attaquant peut contourner les restrictions d'accès aux données via API Swagger de IBM API Connect, afin d'obtenir des informations sensibles.
Bulletin Vigil@nce complet... (Essai gratuit)

alerte de menace CVE-2019-11841

Go : obtention d'information via Message Forgery

Synthèse de la vulnérabilité

Un attaquant peut contourner les restrictions d'accès aux données via Message Forgery de Go, afin d'obtenir des informations sensibles.
Gravité : 2/4.
Date création : 14/08/2019.
Références : CVE-2019-11841, DLA-1920-1, ibm10960884, VIGILANCE-VUL-30047.
Bulletin Vigil@nce complet... (Essai gratuit)

Description de la vulnérabilité

Un attaquant peut contourner les restrictions d'accès aux données via Message Forgery de Go, afin d'obtenir des informations sensibles.
Bulletin Vigil@nce complet... (Essai gratuit)

vulnérabilité cyber-sécurité CVE-2019-9634

Go : exécution de code de DLL

Synthèse de la vulnérabilité

Un attaquant peut créer une DLL malveillante, puis la placer dans le répertoire de travail de Go, afin d'exécuter du code.
Gravité : 2/4.
Date création : 14/08/2019.
Références : CVE-2019-9634, ibm10960882, VIGILANCE-VUL-30046.
Bulletin Vigil@nce complet... (Essai gratuit)

Description de la vulnérabilité

Un attaquant peut créer une DLL malveillante, puis la placer dans le répertoire de travail de Go, afin d'exécuter du code.
Bulletin Vigil@nce complet... (Essai gratuit)

bulletin de menace informatique CVE-2019-11888

Go : obtention d'information via Process Creation

Synthèse de la vulnérabilité

Un attaquant peut contourner les restrictions d'accès aux données via Process Creation de Go, afin d'obtenir des informations sensibles.
Gravité : 2/4.
Date création : 14/08/2019.
Références : CVE-2019-11888, ibm10960850, VIGILANCE-VUL-30045.
Bulletin Vigil@nce complet... (Essai gratuit)

Description de la vulnérabilité

Un attaquant peut contourner les restrictions d'accès aux données via Process Creation de Go, afin d'obtenir des informations sensibles.
Bulletin Vigil@nce complet... (Essai gratuit)

annonce cybersécurité CVE-2019-4402

IBM API Connect : déni de service via Unprotected API

Synthèse de la vulnérabilité

Un attaquant peut provoquer une erreur fatale via Unprotected API de IBM API Connect, afin de mener un déni de service.
Gravité : 2/4.
Date création : 14/08/2019.
Références : CVE-2019-4402, ibm10958193, VIGILANCE-VUL-30044.
Bulletin Vigil@nce complet... (Essai gratuit)

Description de la vulnérabilité

Un attaquant peut provoquer une erreur fatale via Unprotected API de IBM API Connect, afin de mener un déni de service.
Bulletin Vigil@nce complet... (Essai gratuit)

alerte cyber-sécurité CVE-2018-16493

Node.js static-resource-server : lecture de fichier via Appended Slash

Synthèse de la vulnérabilité

Un attaquant local peut lire un fichier via Appended Slash de Node.js static-resource-server, afin d'obtenir des informations sensibles.
Gravité : 2/4.
Date création : 05/08/2019.
Références : CVE-2018-16493, ibm10958783, VIGILANCE-VUL-29941.
Bulletin Vigil@nce complet... (Essai gratuit)

Description de la vulnérabilité

Un attaquant local peut lire un fichier via Appended Slash de Node.js static-resource-server, afin d'obtenir des informations sensibles.
Bulletin Vigil@nce complet... (Essai gratuit)

avis de faille informatique 29635

Drupal Advanced Forum : Cross Site Scripting

Synthèse de la vulnérabilité

Un attaquant peut provoquer un Cross Site Scripting de Drupal Advanced Forum, afin d'exécuter du code JavaScript dans le contexte du site web.
Gravité : 2/4.
Date création : 27/06/2019.
Références : DRUPAL-SA-CONTRIB-2019-054, ibm10960880, VIGILANCE-VUL-29635.
Bulletin Vigil@nce complet... (Essai gratuit)

Description de la vulnérabilité

Le module Advanced Forum peut être installé sur Drupal.

Cependant, les données reçues ne sont pas filtrées avant d'être insérées dans les documents HTML générés.

Un attaquant peut donc provoquer un Cross Site Scripting de Drupal Advanced Forum, afin d'exécuter du code JavaScript dans le contexte du site web.
Bulletin Vigil@nce complet... (Essai gratuit)

faille informatique CVE-2018-1858

IBM API Connect : Cross Site Request Forgery

Synthèse de la vulnérabilité

Un attaquant peut provoquer un Cross Site Request Forgery de IBM API Connect, afin de forcer la victime à effectuer des opérations.
Gravité : 2/4.
Date création : 26/06/2019.
Références : CVE-2018-1858, ibm10794169, VIGILANCE-VUL-29627.
Bulletin Vigil@nce complet... (Essai gratuit)

Description de la vulnérabilité

Le produit IBM API Connect dispose d'un service web.

Cependant, l'origine des requêtes n'est pas validée. Elles peuvent par exemple provenir d'une image affichée dans un document HTML.

Un attaquant peut donc provoquer un Cross Site Request Forgery de IBM API Connect, afin de forcer la victime à effectuer des opérations.
Bulletin Vigil@nce complet... (Essai gratuit)

annonce de faille informatique CVE-2019-11246

Kubernetes : traversée de répertoire via kubectl cp

Synthèse de la vulnérabilité

Un attaquant peut traverser les répertoires via kubectl cp de Kubernetes, afin de lire un fichier situé hors de la racine du service.
Gravité : 2/4.
Date création : 21/06/2019.
Références : CVE-2019-11246, FEDORA-2019-2b8ef08c95, ibm10960606, VIGILANCE-VUL-29589.
Bulletin Vigil@nce complet... (Essai gratuit)

Description de la vulnérabilité

Un attaquant peut traverser les répertoires via kubectl cp de Kubernetes, afin de lire un fichier situé hors de la racine du service.
Bulletin Vigil@nce complet... (Essai gratuit)
Notre base de données contient d'autres bulletins. Vous pouvez utiliser un essai gratuit pour les consulter.

Consulter les informations sur IBM API Connect :