cvelistv5 - cve-2022-41297

cve-2022-41297

Vulnerability from cvelistv5

Published

2022-12-01 17:30

Modified

2025-04-24 19:58

Severity ?

4.3 (Medium) - CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N

Summary

IBM Db2U 3.5, 4.0, and 4.5 is vulnerable to cross-site request forgery which could allow an attacker to execute malicious and unauthorized actions transmitted from a user that the website trusts. IBM X-Force ID: 237212.

References

URL	Tags
psirt@us.ibm.com	https://exchange.xforce.ibmcloud.com/vulnerabilities/237212	Broken Link, VDB Entry, Vendor Advisory
psirt@us.ibm.com	https://www.ibm.com/support/pages/node/6843071	Vendor Advisory
af854a3a-2127-422b-91ae-364da2661108	https://exchange.xforce.ibmcloud.com/vulnerabilities/237212	Broken Link, VDB Entry, Vendor Advisory
af854a3a-2127-422b-91ae-364da2661108	https://www.ibm.com/support/pages/node/6843071	Vendor Advisory

Impacted products

	Vendor	Product	Version
	IBM	Db2U	Version: 3.5, 4.0, 4.5

Show details on NVD website

JSON

To clipboard

{
   containers: {
      adp: [
         {
            providerMetadata: {
               dateUpdated: "2024-08-03T12:42:44.995Z",
               orgId: "af854a3a-2127-422b-91ae-364da2661108",
               shortName: "CVE",
            },
            references: [
               {
                  tags: [
                     "vendor-advisory",
                     "x_transferred",
                  ],
                  url: "https://www.ibm.com/support/pages/node/6843071",
               },
               {
                  tags: [
                     "vdb-entry",
                     "x_transferred",
                  ],
                  url: "https://exchange.xforce.ibmcloud.com/vulnerabilities/237212",
               },
            ],
            title: "CVE Program Container",
         },
         {
            metrics: [
               {
                  other: {
                     content: {
                        id: "CVE-2022-41297",
                        options: [
                           {
                              Exploitation: "none",
                           },
                           {
                              Automatable: "no",
                           },
                           {
                              "Technical Impact": "partial",
                           },
                        ],
                        role: "CISA Coordinator",
                        timestamp: "2025-04-24T19:56:23.839612Z",
                        version: "2.0.3",
                     },
                     type: "ssvc",
                  },
               },
            ],
            providerMetadata: {
               dateUpdated: "2025-04-24T19:58:40.075Z",
               orgId: "134c704f-9b21-4f2e-91b3-4a467353bcc0",
               shortName: "CISA-ADP",
            },
            title: "CISA ADP Vulnrichment",
         },
      ],
      cna: {
         affected: [
            {
               defaultStatus: "unaffected",
               product: "Db2U",
               vendor: "IBM",
               versions: [
                  {
                     status: "affected",
                     version: "3.5, 4.0, 4.5",
                  },
               ],
            },
         ],
         descriptions: [
            {
               lang: "en",
               supportingMedia: [
                  {
                     base64: false,
                     type: "text/html",
                     value: "IBM Db2U 3.5, 4.0, and 4.5 is vulnerable to cross-site request forgery which could allow an attacker to execute malicious and unauthorized actions transmitted from a user that the website trusts.  IBM X-Force ID:  237212.",
                  },
               ],
               value: "IBM Db2U 3.5, 4.0, and 4.5 is vulnerable to cross-site request forgery which could allow an attacker to execute malicious and unauthorized actions transmitted from a user that the website trusts.  IBM X-Force ID:  237212.",
            },
         ],
         metrics: [
            {
               cvssV3_1: {
                  attackComplexity: "LOW",
                  attackVector: "NETWORK",
                  availabilityImpact: "NONE",
                  baseScore: 4.3,
                  baseSeverity: "MEDIUM",
                  confidentialityImpact: "NONE",
                  integrityImpact: "LOW",
                  privilegesRequired: "NONE",
                  scope: "UNCHANGED",
                  userInteraction: "REQUIRED",
                  vectorString: "CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N",
                  version: "3.1",
               },
               format: "CVSS",
               scenarios: [
                  {
                     lang: "en",
                     value: "GENERAL",
                  },
               ],
            },
         ],
         problemTypes: [
            {
               descriptions: [
                  {
                     cweId: "CWE-352",
                     description: "CWE-352 Cross-Site Request Forgery (CSRF)",
                     lang: "en",
                     type: "CWE",
                  },
               ],
            },
         ],
         providerMetadata: {
            dateUpdated: "2022-12-01T17:30:14.457Z",
            orgId: "9a959283-ebb5-44b6-b705-dcc2bbced522",
            shortName: "ibm",
         },
         references: [
            {
               tags: [
                  "vendor-advisory",
               ],
               url: "https://www.ibm.com/support/pages/node/6843071",
            },
            {
               tags: [
                  "vdb-entry",
               ],
               url: "https://exchange.xforce.ibmcloud.com/vulnerabilities/237212",
            },
         ],
         source: {
            discovery: "UNKNOWN",
         },
         title: "IBM Db2U cross-site request forgery",
         x_generator: {
            engine: "Vulnogram 0.1.0-dev",
         },
      },
   },
   cveMetadata: {
      assignerOrgId: "9a959283-ebb5-44b6-b705-dcc2bbced522",
      assignerShortName: "ibm",
      cveId: "CVE-2022-41297",
      datePublished: "2022-12-01T17:30:14.457Z",
      dateReserved: "2022-09-21T17:43:55.395Z",
      dateUpdated: "2025-04-24T19:58:40.075Z",
      requesterUserId: "69938c14-a5a2-41ac-a450-71ed41911136",
      state: "PUBLISHED",
   },
   dataType: "CVE_RECORD",
   dataVersion: "5.1",
   "vulnerability-lookup:meta": {
      nvd: "{\"cve\":{\"id\":\"CVE-2022-41297\",\"sourceIdentifier\":\"psirt@us.ibm.com\",\"published\":\"2022-12-01T18:15:10.610\",\"lastModified\":\"2024-11-21T07:22:59.863\",\"vulnStatus\":\"Modified\",\"cveTags\":[],\"descriptions\":[{\"lang\":\"en\",\"value\":\"IBM Db2U 3.5, 4.0, and 4.5 is vulnerable to cross-site request forgery which could allow an attacker to execute malicious and unauthorized actions transmitted from a user that the website trusts.  IBM X-Force ID:  237212.\"},{\"lang\":\"es\",\"value\":\"IBM Db2U 3.5, 4.0 y 4.5 es vulnerable a Cross-Site Request Forgery (CSRF), lo que podría permitir a un atacante ejecutar acciones maliciosas y no autorizadas transmitidas por un usuario en el que confía el sitio web. ID de IBM X-Force: 237212.\"}],\"metrics\":{\"cvssMetricV31\":[{\"source\":\"psirt@us.ibm.com\",\"type\":\"Secondary\",\"cvssData\":{\"version\":\"3.1\",\"vectorString\":\"CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N\",\"baseScore\":4.3,\"baseSeverity\":\"MEDIUM\",\"attackVector\":\"NETWORK\",\"attackComplexity\":\"LOW\",\"privilegesRequired\":\"NONE\",\"userInteraction\":\"REQUIRED\",\"scope\":\"UNCHANGED\",\"confidentialityImpact\":\"NONE\",\"integrityImpact\":\"LOW\",\"availabilityImpact\":\"NONE\"},\"exploitabilityScore\":2.8,\"impactScore\":1.4},{\"source\":\"nvd@nist.gov\",\"type\":\"Primary\",\"cvssData\":{\"version\":\"3.1\",\"vectorString\":\"CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:H/A:N\",\"baseScore\":6.5,\"baseSeverity\":\"MEDIUM\",\"attackVector\":\"NETWORK\",\"attackComplexity\":\"LOW\",\"privilegesRequired\":\"NONE\",\"userInteraction\":\"REQUIRED\",\"scope\":\"UNCHANGED\",\"confidentialityImpact\":\"NONE\",\"integrityImpact\":\"HIGH\",\"availabilityImpact\":\"NONE\"},\"exploitabilityScore\":2.8,\"impactScore\":3.6}]},\"weaknesses\":[{\"source\":\"psirt@us.ibm.com\",\"type\":\"Secondary\",\"description\":[{\"lang\":\"en\",\"value\":\"CWE-352\"}]},{\"source\":\"nvd@nist.gov\",\"type\":\"Primary\",\"description\":[{\"lang\":\"en\",\"value\":\"CWE-352\"}]}],\"configurations\":[{\"nodes\":[{\"operator\":\"OR\",\"negate\":false,\"cpeMatch\":[{\"vulnerable\":true,\"criteria\":\"cpe:2.3:a:ibm:db2_on_cloud_pak_for_data:*:*:*:*:*:*:*:*\",\"versionStartIncluding\":\"3.5\",\"versionEndExcluding\":\"4.6\",\"matchCriteriaId\":\"EEF8B7E3-75A4-4B3D-BBB8-5DCC365FC21B\"},{\"vulnerable\":true,\"criteria\":\"cpe:2.3:a:ibm:db2_warehouse_on_cloud_pak_for_data:*:*:*:*:*:*:*:*\",\"versionStartIncluding\":\"3.5\",\"versionEndExcluding\":\"4.6\",\"matchCriteriaId\":\"EAF30D85-392D-4194-92E1-B8C791A8D909\"},{\"vulnerable\":true,\"criteria\":\"cpe:2.3:a:ibm:db2u:3.5:*:*:*:*:*:*:*\",\"matchCriteriaId\":\"9BC2E610-506A-4BE6-8D42-458FFCC59269\"},{\"vulnerable\":true,\"criteria\":\"cpe:2.3:a:ibm:db2u:4.0:*:*:*:*:*:*:*\",\"matchCriteriaId\":\"533D1810-39F6-4690-80D6-31D5CBA2A948\"},{\"vulnerable\":true,\"criteria\":\"cpe:2.3:a:ibm:db2u:4.5:*:*:*:*:*:*:*\",\"matchCriteriaId\":\"A4877645-E726-45DE-9B55-C6BAEA7D1B09\"}]}]}],\"references\":[{\"url\":\"https://exchange.xforce.ibmcloud.com/vulnerabilities/237212\",\"source\":\"psirt@us.ibm.com\",\"tags\":[\"Broken Link\",\"VDB Entry\",\"Vendor Advisory\"]},{\"url\":\"https://www.ibm.com/support/pages/node/6843071\",\"source\":\"psirt@us.ibm.com\",\"tags\":[\"Vendor Advisory\"]},{\"url\":\"https://exchange.xforce.ibmcloud.com/vulnerabilities/237212\",\"source\":\"af854a3a-2127-422b-91ae-364da2661108\",\"tags\":[\"Broken Link\",\"VDB Entry\",\"Vendor Advisory\"]},{\"url\":\"https://www.ibm.com/support/pages/node/6843071\",\"source\":\"af854a3a-2127-422b-91ae-364da2661108\",\"tags\":[\"Vendor Advisory\"]}]}}",
      vulnrichment: {
         containers: "{\"adp\": [{\"title\": \"CVE Program Container\", \"references\": [{\"url\": \"https://www.ibm.com/support/pages/node/6843071\", \"tags\": [\"vendor-advisory\", \"x_transferred\"]}, {\"url\": \"https://exchange.xforce.ibmcloud.com/vulnerabilities/237212\", \"tags\": [\"vdb-entry\", \"x_transferred\"]}], \"providerMetadata\": {\"orgId\": \"af854a3a-2127-422b-91ae-364da2661108\", \"shortName\": \"CVE\", \"dateUpdated\": \"2024-08-03T12:42:44.995Z\"}}, {\"title\": \"CISA ADP Vulnrichment\", \"metrics\": [{\"other\": {\"type\": \"ssvc\", \"content\": {\"id\": \"CVE-2022-41297\", \"role\": \"CISA Coordinator\", \"options\": [{\"Exploitation\": \"none\"}, {\"Automatable\": \"no\"}, {\"Technical Impact\": \"partial\"}], \"version\": \"2.0.3\", \"timestamp\": \"2025-04-24T19:56:23.839612Z\"}}}], \"providerMetadata\": {\"orgId\": \"134c704f-9b21-4f2e-91b3-4a467353bcc0\", \"shortName\": \"CISA-ADP\", \"dateUpdated\": \"2025-04-24T19:57:59.571Z\"}}], \"cna\": {\"title\": \"IBM Db2U cross-site request forgery\", \"source\": {\"discovery\": \"UNKNOWN\"}, \"metrics\": [{\"format\": \"CVSS\", \"cvssV3_1\": {\"scope\": \"UNCHANGED\", \"version\": \"3.1\", \"baseScore\": 4.3, \"attackVector\": \"NETWORK\", \"baseSeverity\": \"MEDIUM\", \"vectorString\": \"CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N\", \"integrityImpact\": \"LOW\", \"userInteraction\": \"REQUIRED\", \"attackComplexity\": \"LOW\", \"availabilityImpact\": \"NONE\", \"privilegesRequired\": \"NONE\", \"confidentialityImpact\": \"NONE\"}, \"scenarios\": [{\"lang\": \"en\", \"value\": \"GENERAL\"}]}], \"affected\": [{\"vendor\": \"IBM\", \"product\": \"Db2U\", \"versions\": [{\"status\": \"affected\", \"version\": \"3.5, 4.0, 4.5\"}], \"defaultStatus\": \"unaffected\"}], \"references\": [{\"url\": \"https://www.ibm.com/support/pages/node/6843071\", \"tags\": [\"vendor-advisory\"]}, {\"url\": \"https://exchange.xforce.ibmcloud.com/vulnerabilities/237212\", \"tags\": [\"vdb-entry\"]}], \"x_generator\": {\"engine\": \"Vulnogram 0.1.0-dev\"}, \"descriptions\": [{\"lang\": \"en\", \"value\": \"IBM Db2U 3.5, 4.0, and 4.5 is vulnerable to cross-site request forgery which could allow an attacker to execute malicious and unauthorized actions transmitted from a user that the website trusts.  IBM X-Force ID:  237212.\", \"supportingMedia\": [{\"type\": \"text/html\", \"value\": \"IBM Db2U 3.5, 4.0, and 4.5 is vulnerable to cross-site request forgery which could allow an attacker to execute malicious and unauthorized actions transmitted from a user that the website trusts.  IBM X-Force ID:  237212.\", \"base64\": false}]}], \"problemTypes\": [{\"descriptions\": [{\"lang\": \"en\", \"type\": \"CWE\", \"cweId\": \"CWE-352\", \"description\": \"CWE-352 Cross-Site Request Forgery (CSRF)\"}]}], \"providerMetadata\": {\"orgId\": \"9a959283-ebb5-44b6-b705-dcc2bbced522\", \"shortName\": \"ibm\", \"dateUpdated\": \"2022-12-01T17:30:14.457Z\"}}}",
         cveMetadata: "{\"cveId\": \"CVE-2022-41297\", \"state\": \"PUBLISHED\", \"dateUpdated\": \"2025-04-24T19:58:40.075Z\", \"dateReserved\": \"2022-09-21T17:43:55.395Z\", \"assignerOrgId\": \"9a959283-ebb5-44b6-b705-dcc2bbced522\", \"datePublished\": \"2022-12-01T17:30:14.457Z\", \"requesterUserId\": \"69938c14-a5a2-41ac-a450-71ed41911136\", \"assignerShortName\": \"ibm\"}",
         dataType: "CVE_RECORD",
         dataVersion: "5.1",
      },
   },
}

fkie_cve-2022-41297

Vulnerability from fkie_nvd

Published

2022-12-01 18:15

Modified

2024-11-21 07:22

Severity ?

4.3 (Medium) - CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N
6.5 (Medium) - CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:H/A:N

Summary

References

URL	Tags
psirt@us.ibm.com	https://exchange.xforce.ibmcloud.com/vulnerabilities/237212	Broken Link, VDB Entry, Vendor Advisory
psirt@us.ibm.com	https://www.ibm.com/support/pages/node/6843071	Vendor Advisory
af854a3a-2127-422b-91ae-364da2661108	https://exchange.xforce.ibmcloud.com/vulnerabilities/237212	Broken Link, VDB Entry, Vendor Advisory
af854a3a-2127-422b-91ae-364da2661108	https://www.ibm.com/support/pages/node/6843071	Vendor Advisory

Impacted products

Vendor	Product	Version
ibm	db2_on_cloud_pak_for_data	*
ibm	db2_warehouse_on_cloud_pak_for_data	*
ibm	db2u	3.5
ibm	db2u	4.0
ibm	db2u	4.5

JSON

To clipboard

{
   configurations: [
      {
         nodes: [
            {
               cpeMatch: [
                  {
                     criteria: "cpe:2.3:a:ibm:db2_on_cloud_pak_for_data:*:*:*:*:*:*:*:*",
                     matchCriteriaId: "EEF8B7E3-75A4-4B3D-BBB8-5DCC365FC21B",
                     versionEndExcluding: "4.6",
                     versionStartIncluding: "3.5",
                     vulnerable: true,
                  },
                  {
                     criteria: "cpe:2.3:a:ibm:db2_warehouse_on_cloud_pak_for_data:*:*:*:*:*:*:*:*",
                     matchCriteriaId: "EAF30D85-392D-4194-92E1-B8C791A8D909",
                     versionEndExcluding: "4.6",
                     versionStartIncluding: "3.5",
                     vulnerable: true,
                  },
                  {
                     criteria: "cpe:2.3:a:ibm:db2u:3.5:*:*:*:*:*:*:*",
                     matchCriteriaId: "9BC2E610-506A-4BE6-8D42-458FFCC59269",
                     vulnerable: true,
                  },
                  {
                     criteria: "cpe:2.3:a:ibm:db2u:4.0:*:*:*:*:*:*:*",
                     matchCriteriaId: "533D1810-39F6-4690-80D6-31D5CBA2A948",
                     vulnerable: true,
                  },
                  {
                     criteria: "cpe:2.3:a:ibm:db2u:4.5:*:*:*:*:*:*:*",
                     matchCriteriaId: "A4877645-E726-45DE-9B55-C6BAEA7D1B09",
                     vulnerable: true,
                  },
               ],
               negate: false,
               operator: "OR",
            },
         ],
      },
   ],
   cveTags: [],
   descriptions: [
      {
         lang: "en",
         value: "IBM Db2U 3.5, 4.0, and 4.5 is vulnerable to cross-site request forgery which could allow an attacker to execute malicious and unauthorized actions transmitted from a user that the website trusts.  IBM X-Force ID:  237212.",
      },
      {
         lang: "es",
         value: "IBM Db2U 3.5, 4.0 y 4.5 es vulnerable a Cross-Site Request Forgery (CSRF), lo que podría permitir a un atacante ejecutar acciones maliciosas y no autorizadas transmitidas por un usuario en el que confía el sitio web. ID de IBM X-Force: 237212.",
      },
   ],
   id: "CVE-2022-41297",
   lastModified: "2024-11-21T07:22:59.863",
   metrics: {
      cvssMetricV31: [
         {
            cvssData: {
               attackComplexity: "LOW",
               attackVector: "NETWORK",
               availabilityImpact: "NONE",
               baseScore: 4.3,
               baseSeverity: "MEDIUM",
               confidentialityImpact: "NONE",
               integrityImpact: "LOW",
               privilegesRequired: "NONE",
               scope: "UNCHANGED",
               userInteraction: "REQUIRED",
               vectorString: "CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N",
               version: "3.1",
            },
            exploitabilityScore: 2.8,
            impactScore: 1.4,
            source: "psirt@us.ibm.com",
            type: "Secondary",
         },
         {
            cvssData: {
               attackComplexity: "LOW",
               attackVector: "NETWORK",
               availabilityImpact: "NONE",
               baseScore: 6.5,
               baseSeverity: "MEDIUM",
               confidentialityImpact: "NONE",
               integrityImpact: "HIGH",
               privilegesRequired: "NONE",
               scope: "UNCHANGED",
               userInteraction: "REQUIRED",
               vectorString: "CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:H/A:N",
               version: "3.1",
            },
            exploitabilityScore: 2.8,
            impactScore: 3.6,
            source: "nvd@nist.gov",
            type: "Primary",
         },
      ],
   },
   published: "2022-12-01T18:15:10.610",
   references: [
      {
         source: "psirt@us.ibm.com",
         tags: [
            "Broken Link",
            "VDB Entry",
            "Vendor Advisory",
         ],
         url: "https://exchange.xforce.ibmcloud.com/vulnerabilities/237212",
      },
      {
         source: "psirt@us.ibm.com",
         tags: [
            "Vendor Advisory",
         ],
         url: "https://www.ibm.com/support/pages/node/6843071",
      },
      {
         source: "af854a3a-2127-422b-91ae-364da2661108",
         tags: [
            "Broken Link",
            "VDB Entry",
            "Vendor Advisory",
         ],
         url: "https://exchange.xforce.ibmcloud.com/vulnerabilities/237212",
      },
      {
         source: "af854a3a-2127-422b-91ae-364da2661108",
         tags: [
            "Vendor Advisory",
         ],
         url: "https://www.ibm.com/support/pages/node/6843071",
      },
   ],
   sourceIdentifier: "psirt@us.ibm.com",
   vulnStatus: "Modified",
   weaknesses: [
      {
         description: [
            {
               lang: "en",
               value: "CWE-352",
            },
         ],
         source: "psirt@us.ibm.com",
         type: "Secondary",
      },
      {
         description: [
            {
               lang: "en",
               value: "CWE-352",
            },
         ],
         source: "nvd@nist.gov",
         type: "Primary",
      },
   ],
}

wid-sec-w-2022-2339

Vulnerability from csaf_certbund

Published

2022-12-14 23:00

Modified

2023-04-18 22:00

Summary

IBM DB2: Mehrere Schwachstellen

Notes

Das BSI ist als Anbieter für die eigenen, zur Nutzung bereitgestellten Inhalte nach den allgemeinen Gesetzen verantwortlich. Nutzerinnen und Nutzer sind jedoch dafür verantwortlich, die Verwendung und/oder die Umsetzung der mit den Inhalten bereitgestellten Informationen sorgfältig im Einzelfall zu prüfen.

Produktbeschreibung

IBM DB2 ist ein relationales Datenbanksystem (RDBS) von IBM.

Angriff

Ein entfernter, anonymer oder authentisierter Angreifer kann mehrere Schwachstellen in IBM DB2 on Cloud Pak for Data and Db2 Warehouse on Cloud Pak for Data ausnutzen, um die Vertraulichkeit, Verfügbarkeit und Integrität zu gefährden.

Betroffene Betriebssysteme

- UNIX - Linux - Windows - Sonstiges

JSON

To clipboard

{
   document: {
      aggregate_severity: {
         text: "mittel",
      },
      category: "csaf_base",
      csaf_version: "2.0",
      distribution: {
         tlp: {
            label: "WHITE",
            url: "https://www.first.org/tlp/",
         },
      },
      lang: "de-DE",
      notes: [
         {
            category: "legal_disclaimer",
            text: "Das BSI ist als Anbieter für die eigenen, zur Nutzung bereitgestellten Inhalte nach den allgemeinen Gesetzen verantwortlich. Nutzerinnen und Nutzer sind jedoch dafür verantwortlich, die Verwendung und/oder die Umsetzung der mit den Inhalten bereitgestellten Informationen sorgfältig im Einzelfall zu prüfen.",
         },
         {
            category: "description",
            text: "IBM DB2 ist ein relationales Datenbanksystem (RDBS) von IBM.",
            title: "Produktbeschreibung",
         },
         {
            category: "summary",
            text: "Ein entfernter, anonymer oder authentisierter Angreifer kann mehrere Schwachstellen in  IBM DB2 on Cloud Pak for Data and Db2 Warehouse on Cloud Pak for Data ausnutzen, um die Vertraulichkeit, Verfügbarkeit und Integrität zu gefährden.",
            title: "Angriff",
         },
         {
            category: "general",
            text: "- UNIX\n- Linux\n- Windows\n- Sonstiges",
            title: "Betroffene Betriebssysteme",
         },
      ],
      publisher: {
         category: "other",
         contact_details: "csaf-provider@cert-bund.de",
         name: "Bundesamt für Sicherheit in der Informationstechnik",
         namespace: "https://www.bsi.bund.de",
      },
      references: [
         {
            category: "self",
            summary: "WID-SEC-W-2022-2339 - CSAF Version",
            url: "https://wid.cert-bund.de/.well-known/csaf/white/2022/wid-sec-w-2022-2339.json",
         },
         {
            category: "self",
            summary: "WID-SEC-2022-2339 - Portal Version",
            url: "https://wid.cert-bund.de/portal/wid/securityadvisory?name=WID-SEC-2022-2339",
         },
         {
            category: "external",
            summary: "IBM Security Bulletin 6984413 vom 2023-04-18",
            url: "https://www.ibm.com/support/pages/node/6984413",
         },
         {
            category: "external",
            summary: "IBM Security Bulletin vom 2022-12-14",
            url: "https://www.ibm.com/support/pages/node/6843071",
         },
      ],
      source_lang: "en-US",
      title: "IBM DB2: Mehrere Schwachstellen",
      tracking: {
         current_release_date: "2023-04-18T22:00:00.000+00:00",
         generator: {
            date: "2024-08-15T17:40:03.847+00:00",
            engine: {
               name: "BSI-WID",
               version: "1.3.5",
            },
         },
         id: "WID-SEC-W-2022-2339",
         initial_release_date: "2022-12-14T23:00:00.000+00:00",
         revision_history: [
            {
               date: "2022-12-14T23:00:00.000+00:00",
               number: "1",
               summary: "Initiale Fassung",
            },
            {
               date: "2023-04-18T22:00:00.000+00:00",
               number: "2",
               summary: "Neue Updates von IBM aufgenommen",
            },
         ],
         status: "final",
         version: "2",
      },
   },
   product_tree: {
      branches: [
         {
            branches: [
               {
                  branches: [
                     {
                        category: "product_name",
                        name: "IBM DB2",
                        product: {
                           name: "IBM DB2",
                           product_id: "5104",
                           product_identification_helper: {
                              cpe: "cpe:/a:ibm:db2:-",
                           },
                        },
                     },
                     {
                        category: "product_name",
                        name: "IBM DB2 Cloud Pak for Data < 4.6",
                        product: {
                           name: "IBM DB2 Cloud Pak for Data < 4.6",
                           product_id: "T025618",
                           product_identification_helper: {
                              cpe: "cpe:/a:ibm:db2:cloud_pak_for_data__4.6",
                           },
                        },
                     },
                  ],
                  category: "product_name",
                  name: "DB2",
               },
            ],
            category: "vendor",
            name: "IBM",
         },
      ],
   },
   vulnerabilities: [
      {
         cve: "CVE-2016-1000023",
         notes: [
            {
               category: "description",
               text: "Es existieren mehrere Schwachstellen in IBM DB2 on Cloud Pak for Data and DB2 Warehouse on Cloud Pak for Data. Diese bestehen in den Komponenten Minimatch, Db2U, Helm, kube-apiserver und Golang Go. Ein entfernter, anonymer oder authentisierter Angreifer kann diese Schwachstellen ausnutzen, um die Vertraulichkeit, Verfügbarkeit und Integrität zu gefährden. Für die Ausnutzung einiger dieser Schwachstellen ist eine Interaktion des Opfers notwendig.",
            },
         ],
         product_status: {
            known_affected: [
               "T025618",
               "5104",
            ],
         },
         release_date: "2022-12-14T23:00:00.000+00:00",
         title: "CVE-2016-1000023",
      },
      {
         cve: "CVE-2021-21303",
         notes: [
            {
               category: "description",
               text: "Es existieren mehrere Schwachstellen in IBM DB2 on Cloud Pak for Data and DB2 Warehouse on Cloud Pak for Data. Diese bestehen in den Komponenten Minimatch, Db2U, Helm, kube-apiserver und Golang Go. Ein entfernter, anonymer oder authentisierter Angreifer kann diese Schwachstellen ausnutzen, um die Vertraulichkeit, Verfügbarkeit und Integrität zu gefährden. Für die Ausnutzung einiger dieser Schwachstellen ist eine Interaktion des Opfers notwendig.",
            },
         ],
         product_status: {
            known_affected: [
               "T025618",
               "5104",
            ],
         },
         release_date: "2022-12-14T23:00:00.000+00:00",
         title: "CVE-2021-21303",
      },
      {
         cve: "CVE-2021-32690",
         notes: [
            {
               category: "description",
               text: "Es existieren mehrere Schwachstellen in IBM DB2 on Cloud Pak for Data and DB2 Warehouse on Cloud Pak for Data. Diese bestehen in den Komponenten Minimatch, Db2U, Helm, kube-apiserver und Golang Go. Ein entfernter, anonymer oder authentisierter Angreifer kann diese Schwachstellen ausnutzen, um die Vertraulichkeit, Verfügbarkeit und Integrität zu gefährden. Für die Ausnutzung einiger dieser Schwachstellen ist eine Interaktion des Opfers notwendig.",
            },
         ],
         product_status: {
            known_affected: [
               "T025618",
               "5104",
            ],
         },
         release_date: "2022-12-14T23:00:00.000+00:00",
         title: "CVE-2021-32690",
      },
      {
         cve: "CVE-2022-27664",
         notes: [
            {
               category: "description",
               text: "Es existieren mehrere Schwachstellen in IBM DB2 on Cloud Pak for Data and DB2 Warehouse on Cloud Pak for Data. Diese bestehen in den Komponenten Minimatch, Db2U, Helm, kube-apiserver und Golang Go. Ein entfernter, anonymer oder authentisierter Angreifer kann diese Schwachstellen ausnutzen, um die Vertraulichkeit, Verfügbarkeit und Integrität zu gefährden. Für die Ausnutzung einiger dieser Schwachstellen ist eine Interaktion des Opfers notwendig.",
            },
         ],
         product_status: {
            known_affected: [
               "T025618",
               "5104",
            ],
         },
         release_date: "2022-12-14T23:00:00.000+00:00",
         title: "CVE-2022-27664",
      },
      {
         cve: "CVE-2022-28131",
         notes: [
            {
               category: "description",
               text: "Es existieren mehrere Schwachstellen in IBM DB2 on Cloud Pak for Data and DB2 Warehouse on Cloud Pak for Data. Diese bestehen in den Komponenten Minimatch, Db2U, Helm, kube-apiserver und Golang Go. Ein entfernter, anonymer oder authentisierter Angreifer kann diese Schwachstellen ausnutzen, um die Vertraulichkeit, Verfügbarkeit und Integrität zu gefährden. Für die Ausnutzung einiger dieser Schwachstellen ist eine Interaktion des Opfers notwendig.",
            },
         ],
         product_status: {
            known_affected: [
               "T025618",
               "5104",
            ],
         },
         release_date: "2022-12-14T23:00:00.000+00:00",
         title: "CVE-2022-28131",
      },
      {
         cve: "CVE-2022-29526",
         notes: [
            {
               category: "description",
               text: "Es existieren mehrere Schwachstellen in IBM DB2 on Cloud Pak for Data and DB2 Warehouse on Cloud Pak for Data. Diese bestehen in den Komponenten Minimatch, Db2U, Helm, kube-apiserver und Golang Go. Ein entfernter, anonymer oder authentisierter Angreifer kann diese Schwachstellen ausnutzen, um die Vertraulichkeit, Verfügbarkeit und Integrität zu gefährden. Für die Ausnutzung einiger dieser Schwachstellen ist eine Interaktion des Opfers notwendig.",
            },
         ],
         product_status: {
            known_affected: [
               "T025618",
               "5104",
            ],
         },
         release_date: "2022-12-14T23:00:00.000+00:00",
         title: "CVE-2022-29526",
      },
      {
         cve: "CVE-2022-30633",
         notes: [
            {
               category: "description",
               text: "Es existieren mehrere Schwachstellen in IBM DB2 on Cloud Pak for Data and DB2 Warehouse on Cloud Pak for Data. Diese bestehen in den Komponenten Minimatch, Db2U, Helm, kube-apiserver und Golang Go. Ein entfernter, anonymer oder authentisierter Angreifer kann diese Schwachstellen ausnutzen, um die Vertraulichkeit, Verfügbarkeit und Integrität zu gefährden. Für die Ausnutzung einiger dieser Schwachstellen ist eine Interaktion des Opfers notwendig.",
            },
         ],
         product_status: {
            known_affected: [
               "T025618",
               "5104",
            ],
         },
         release_date: "2022-12-14T23:00:00.000+00:00",
         title: "CVE-2022-30633",
      },
      {
         cve: "CVE-2022-3172",
         notes: [
            {
               category: "description",
               text: "Es existieren mehrere Schwachstellen in IBM DB2 on Cloud Pak for Data and DB2 Warehouse on Cloud Pak for Data. Diese bestehen in den Komponenten Minimatch, Db2U, Helm, kube-apiserver und Golang Go. Ein entfernter, anonymer oder authentisierter Angreifer kann diese Schwachstellen ausnutzen, um die Vertraulichkeit, Verfügbarkeit und Integrität zu gefährden. Für die Ausnutzung einiger dieser Schwachstellen ist eine Interaktion des Opfers notwendig.",
            },
         ],
         product_status: {
            known_affected: [
               "T025618",
               "5104",
            ],
         },
         release_date: "2022-12-14T23:00:00.000+00:00",
         title: "CVE-2022-3172",
      },
      {
         cve: "CVE-2022-36055",
         notes: [
            {
               category: "description",
               text: "Es existieren mehrere Schwachstellen in IBM DB2 on Cloud Pak for Data and DB2 Warehouse on Cloud Pak for Data. Diese bestehen in den Komponenten Minimatch, Db2U, Helm, kube-apiserver und Golang Go. Ein entfernter, anonymer oder authentisierter Angreifer kann diese Schwachstellen ausnutzen, um die Vertraulichkeit, Verfügbarkeit und Integrität zu gefährden. Für die Ausnutzung einiger dieser Schwachstellen ist eine Interaktion des Opfers notwendig.",
            },
         ],
         product_status: {
            known_affected: [
               "T025618",
               "5104",
            ],
         },
         release_date: "2022-12-14T23:00:00.000+00:00",
         title: "CVE-2022-36055",
      },
      {
         cve: "CVE-2022-41296",
         notes: [
            {
               category: "description",
               text: "Es existieren mehrere Schwachstellen in IBM DB2 on Cloud Pak for Data and DB2 Warehouse on Cloud Pak for Data. Diese bestehen in den Komponenten Minimatch, Db2U, Helm, kube-apiserver und Golang Go. Ein entfernter, anonymer oder authentisierter Angreifer kann diese Schwachstellen ausnutzen, um die Vertraulichkeit, Verfügbarkeit und Integrität zu gefährden. Für die Ausnutzung einiger dieser Schwachstellen ist eine Interaktion des Opfers notwendig.",
            },
         ],
         product_status: {
            known_affected: [
               "T025618",
               "5104",
            ],
         },
         release_date: "2022-12-14T23:00:00.000+00:00",
         title: "CVE-2022-41296",
      },
      {
         cve: "CVE-2022-41297",
         notes: [
            {
               category: "description",
               text: "Es existieren mehrere Schwachstellen in IBM DB2 on Cloud Pak for Data and DB2 Warehouse on Cloud Pak for Data. Diese bestehen in den Komponenten Minimatch, Db2U, Helm, kube-apiserver und Golang Go. Ein entfernter, anonymer oder authentisierter Angreifer kann diese Schwachstellen ausnutzen, um die Vertraulichkeit, Verfügbarkeit und Integrität zu gefährden. Für die Ausnutzung einiger dieser Schwachstellen ist eine Interaktion des Opfers notwendig.",
            },
         ],
         product_status: {
            known_affected: [
               "T025618",
               "5104",
            ],
         },
         release_date: "2022-12-14T23:00:00.000+00:00",
         title: "CVE-2022-41297",
      },
   ],
}

WID-SEC-W-2022-2339

Vulnerability from csaf_certbund

Published

2022-12-14 23:00

Modified

2023-04-18 22:00

Summary

IBM DB2: Mehrere Schwachstellen

Notes

Produktbeschreibung

IBM DB2 ist ein relationales Datenbanksystem (RDBS) von IBM.

Angriff

Betroffene Betriebssysteme

- UNIX - Linux - Windows - Sonstiges

JSON

To clipboard

{
   document: {
      aggregate_severity: {
         text: "mittel",
      },
      category: "csaf_base",
      csaf_version: "2.0",
      distribution: {
         tlp: {
            label: "WHITE",
            url: "https://www.first.org/tlp/",
         },
      },
      lang: "de-DE",
      notes: [
         {
            category: "legal_disclaimer",
            text: "Das BSI ist als Anbieter für die eigenen, zur Nutzung bereitgestellten Inhalte nach den allgemeinen Gesetzen verantwortlich. Nutzerinnen und Nutzer sind jedoch dafür verantwortlich, die Verwendung und/oder die Umsetzung der mit den Inhalten bereitgestellten Informationen sorgfältig im Einzelfall zu prüfen.",
         },
         {
            category: "description",
            text: "IBM DB2 ist ein relationales Datenbanksystem (RDBS) von IBM.",
            title: "Produktbeschreibung",
         },
         {
            category: "summary",
            text: "Ein entfernter, anonymer oder authentisierter Angreifer kann mehrere Schwachstellen in  IBM DB2 on Cloud Pak for Data and Db2 Warehouse on Cloud Pak for Data ausnutzen, um die Vertraulichkeit, Verfügbarkeit und Integrität zu gefährden.",
            title: "Angriff",
         },
         {
            category: "general",
            text: "- UNIX\n- Linux\n- Windows\n- Sonstiges",
            title: "Betroffene Betriebssysteme",
         },
      ],
      publisher: {
         category: "other",
         contact_details: "csaf-provider@cert-bund.de",
         name: "Bundesamt für Sicherheit in der Informationstechnik",
         namespace: "https://www.bsi.bund.de",
      },
      references: [
         {
            category: "self",
            summary: "WID-SEC-W-2022-2339 - CSAF Version",
            url: "https://wid.cert-bund.de/.well-known/csaf/white/2022/wid-sec-w-2022-2339.json",
         },
         {
            category: "self",
            summary: "WID-SEC-2022-2339 - Portal Version",
            url: "https://wid.cert-bund.de/portal/wid/securityadvisory?name=WID-SEC-2022-2339",
         },
         {
            category: "external",
            summary: "IBM Security Bulletin 6984413 vom 2023-04-18",
            url: "https://www.ibm.com/support/pages/node/6984413",
         },
         {
            category: "external",
            summary: "IBM Security Bulletin vom 2022-12-14",
            url: "https://www.ibm.com/support/pages/node/6843071",
         },
      ],
      source_lang: "en-US",
      title: "IBM DB2: Mehrere Schwachstellen",
      tracking: {
         current_release_date: "2023-04-18T22:00:00.000+00:00",
         generator: {
            date: "2024-08-15T17:40:03.847+00:00",
            engine: {
               name: "BSI-WID",
               version: "1.3.5",
            },
         },
         id: "WID-SEC-W-2022-2339",
         initial_release_date: "2022-12-14T23:00:00.000+00:00",
         revision_history: [
            {
               date: "2022-12-14T23:00:00.000+00:00",
               number: "1",
               summary: "Initiale Fassung",
            },
            {
               date: "2023-04-18T22:00:00.000+00:00",
               number: "2",
               summary: "Neue Updates von IBM aufgenommen",
            },
         ],
         status: "final",
         version: "2",
      },
   },
   product_tree: {
      branches: [
         {
            branches: [
               {
                  branches: [
                     {
                        category: "product_name",
                        name: "IBM DB2",
                        product: {
                           name: "IBM DB2",
                           product_id: "5104",
                           product_identification_helper: {
                              cpe: "cpe:/a:ibm:db2:-",
                           },
                        },
                     },
                     {
                        category: "product_name",
                        name: "IBM DB2 Cloud Pak for Data < 4.6",
                        product: {
                           name: "IBM DB2 Cloud Pak for Data < 4.6",
                           product_id: "T025618",
                           product_identification_helper: {
                              cpe: "cpe:/a:ibm:db2:cloud_pak_for_data__4.6",
                           },
                        },
                     },
                  ],
                  category: "product_name",
                  name: "DB2",
               },
            ],
            category: "vendor",
            name: "IBM",
         },
      ],
   },
   vulnerabilities: [
      {
         cve: "CVE-2016-1000023",
         notes: [
            {
               category: "description",
               text: "Es existieren mehrere Schwachstellen in IBM DB2 on Cloud Pak for Data and DB2 Warehouse on Cloud Pak for Data. Diese bestehen in den Komponenten Minimatch, Db2U, Helm, kube-apiserver und Golang Go. Ein entfernter, anonymer oder authentisierter Angreifer kann diese Schwachstellen ausnutzen, um die Vertraulichkeit, Verfügbarkeit und Integrität zu gefährden. Für die Ausnutzung einiger dieser Schwachstellen ist eine Interaktion des Opfers notwendig.",
            },
         ],
         product_status: {
            known_affected: [
               "T025618",
               "5104",
            ],
         },
         release_date: "2022-12-14T23:00:00.000+00:00",
         title: "CVE-2016-1000023",
      },
      {
         cve: "CVE-2021-21303",
         notes: [
            {
               category: "description",
               text: "Es existieren mehrere Schwachstellen in IBM DB2 on Cloud Pak for Data and DB2 Warehouse on Cloud Pak for Data. Diese bestehen in den Komponenten Minimatch, Db2U, Helm, kube-apiserver und Golang Go. Ein entfernter, anonymer oder authentisierter Angreifer kann diese Schwachstellen ausnutzen, um die Vertraulichkeit, Verfügbarkeit und Integrität zu gefährden. Für die Ausnutzung einiger dieser Schwachstellen ist eine Interaktion des Opfers notwendig.",
            },
         ],
         product_status: {
            known_affected: [
               "T025618",
               "5104",
            ],
         },
         release_date: "2022-12-14T23:00:00.000+00:00",
         title: "CVE-2021-21303",
      },
      {
         cve: "CVE-2021-32690",
         notes: [
            {
               category: "description",
               text: "Es existieren mehrere Schwachstellen in IBM DB2 on Cloud Pak for Data and DB2 Warehouse on Cloud Pak for Data. Diese bestehen in den Komponenten Minimatch, Db2U, Helm, kube-apiserver und Golang Go. Ein entfernter, anonymer oder authentisierter Angreifer kann diese Schwachstellen ausnutzen, um die Vertraulichkeit, Verfügbarkeit und Integrität zu gefährden. Für die Ausnutzung einiger dieser Schwachstellen ist eine Interaktion des Opfers notwendig.",
            },
         ],
         product_status: {
            known_affected: [
               "T025618",
               "5104",
            ],
         },
         release_date: "2022-12-14T23:00:00.000+00:00",
         title: "CVE-2021-32690",
      },
      {
         cve: "CVE-2022-27664",
         notes: [
            {
               category: "description",
               text: "Es existieren mehrere Schwachstellen in IBM DB2 on Cloud Pak for Data and DB2 Warehouse on Cloud Pak for Data. Diese bestehen in den Komponenten Minimatch, Db2U, Helm, kube-apiserver und Golang Go. Ein entfernter, anonymer oder authentisierter Angreifer kann diese Schwachstellen ausnutzen, um die Vertraulichkeit, Verfügbarkeit und Integrität zu gefährden. Für die Ausnutzung einiger dieser Schwachstellen ist eine Interaktion des Opfers notwendig.",
            },
         ],
         product_status: {
            known_affected: [
               "T025618",
               "5104",
            ],
         },
         release_date: "2022-12-14T23:00:00.000+00:00",
         title: "CVE-2022-27664",
      },
      {
         cve: "CVE-2022-28131",
         notes: [
            {
               category: "description",
               text: "Es existieren mehrere Schwachstellen in IBM DB2 on Cloud Pak for Data and DB2 Warehouse on Cloud Pak for Data. Diese bestehen in den Komponenten Minimatch, Db2U, Helm, kube-apiserver und Golang Go. Ein entfernter, anonymer oder authentisierter Angreifer kann diese Schwachstellen ausnutzen, um die Vertraulichkeit, Verfügbarkeit und Integrität zu gefährden. Für die Ausnutzung einiger dieser Schwachstellen ist eine Interaktion des Opfers notwendig.",
            },
         ],
         product_status: {
            known_affected: [
               "T025618",
               "5104",
            ],
         },
         release_date: "2022-12-14T23:00:00.000+00:00",
         title: "CVE-2022-28131",
      },
      {
         cve: "CVE-2022-29526",
         notes: [
            {
               category: "description",
               text: "Es existieren mehrere Schwachstellen in IBM DB2 on Cloud Pak for Data and DB2 Warehouse on Cloud Pak for Data. Diese bestehen in den Komponenten Minimatch, Db2U, Helm, kube-apiserver und Golang Go. Ein entfernter, anonymer oder authentisierter Angreifer kann diese Schwachstellen ausnutzen, um die Vertraulichkeit, Verfügbarkeit und Integrität zu gefährden. Für die Ausnutzung einiger dieser Schwachstellen ist eine Interaktion des Opfers notwendig.",
            },
         ],
         product_status: {
            known_affected: [
               "T025618",
               "5104",
            ],
         },
         release_date: "2022-12-14T23:00:00.000+00:00",
         title: "CVE-2022-29526",
      },
      {
         cve: "CVE-2022-30633",
         notes: [
            {
               category: "description",
               text: "Es existieren mehrere Schwachstellen in IBM DB2 on Cloud Pak for Data and DB2 Warehouse on Cloud Pak for Data. Diese bestehen in den Komponenten Minimatch, Db2U, Helm, kube-apiserver und Golang Go. Ein entfernter, anonymer oder authentisierter Angreifer kann diese Schwachstellen ausnutzen, um die Vertraulichkeit, Verfügbarkeit und Integrität zu gefährden. Für die Ausnutzung einiger dieser Schwachstellen ist eine Interaktion des Opfers notwendig.",
            },
         ],
         product_status: {
            known_affected: [
               "T025618",
               "5104",
            ],
         },
         release_date: "2022-12-14T23:00:00.000+00:00",
         title: "CVE-2022-30633",
      },
      {
         cve: "CVE-2022-3172",
         notes: [
            {
               category: "description",
               text: "Es existieren mehrere Schwachstellen in IBM DB2 on Cloud Pak for Data and DB2 Warehouse on Cloud Pak for Data. Diese bestehen in den Komponenten Minimatch, Db2U, Helm, kube-apiserver und Golang Go. Ein entfernter, anonymer oder authentisierter Angreifer kann diese Schwachstellen ausnutzen, um die Vertraulichkeit, Verfügbarkeit und Integrität zu gefährden. Für die Ausnutzung einiger dieser Schwachstellen ist eine Interaktion des Opfers notwendig.",
            },
         ],
         product_status: {
            known_affected: [
               "T025618",
               "5104",
            ],
         },
         release_date: "2022-12-14T23:00:00.000+00:00",
         title: "CVE-2022-3172",
      },
      {
         cve: "CVE-2022-36055",
         notes: [
            {
               category: "description",
               text: "Es existieren mehrere Schwachstellen in IBM DB2 on Cloud Pak for Data and DB2 Warehouse on Cloud Pak for Data. Diese bestehen in den Komponenten Minimatch, Db2U, Helm, kube-apiserver und Golang Go. Ein entfernter, anonymer oder authentisierter Angreifer kann diese Schwachstellen ausnutzen, um die Vertraulichkeit, Verfügbarkeit und Integrität zu gefährden. Für die Ausnutzung einiger dieser Schwachstellen ist eine Interaktion des Opfers notwendig.",
            },
         ],
         product_status: {
            known_affected: [
               "T025618",
               "5104",
            ],
         },
         release_date: "2022-12-14T23:00:00.000+00:00",
         title: "CVE-2022-36055",
      },
      {
         cve: "CVE-2022-41296",
         notes: [
            {
               category: "description",
               text: "Es existieren mehrere Schwachstellen in IBM DB2 on Cloud Pak for Data and DB2 Warehouse on Cloud Pak for Data. Diese bestehen in den Komponenten Minimatch, Db2U, Helm, kube-apiserver und Golang Go. Ein entfernter, anonymer oder authentisierter Angreifer kann diese Schwachstellen ausnutzen, um die Vertraulichkeit, Verfügbarkeit und Integrität zu gefährden. Für die Ausnutzung einiger dieser Schwachstellen ist eine Interaktion des Opfers notwendig.",
            },
         ],
         product_status: {
            known_affected: [
               "T025618",
               "5104",
            ],
         },
         release_date: "2022-12-14T23:00:00.000+00:00",
         title: "CVE-2022-41296",
      },
      {
         cve: "CVE-2022-41297",
         notes: [
            {
               category: "description",
               text: "Es existieren mehrere Schwachstellen in IBM DB2 on Cloud Pak for Data and DB2 Warehouse on Cloud Pak for Data. Diese bestehen in den Komponenten Minimatch, Db2U, Helm, kube-apiserver und Golang Go. Ein entfernter, anonymer oder authentisierter Angreifer kann diese Schwachstellen ausnutzen, um die Vertraulichkeit, Verfügbarkeit und Integrität zu gefährden. Für die Ausnutzung einiger dieser Schwachstellen ist eine Interaktion des Opfers notwendig.",
            },
         ],
         product_status: {
            known_affected: [
               "T025618",
               "5104",
            ],
         },
         release_date: "2022-12-14T23:00:00.000+00:00",
         title: "CVE-2022-41297",
      },
   ],
}

ghsa-4j45-5pwj-x33m

Vulnerability from github

Published

2022-12-01 18:30

Modified

2022-12-06 21:30

Severity ?

6.5 (Medium) - CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:H/A:N

Details

Show details on source website

JSON

To clipboard

{
   affected: [],
   aliases: [
      "CVE-2022-41297",
   ],
   database_specific: {
      cwe_ids: [
         "CWE-352",
      ],
      github_reviewed: false,
      github_reviewed_at: null,
      nvd_published_at: "2022-12-01T18:15:00Z",
      severity: "MODERATE",
   },
   details: "IBM Db2U 3.5, 4.0, and 4.5 is vulnerable to cross-site request forgery which could allow an attacker to execute malicious and unauthorized actions transmitted from a user that the website trusts. IBM X-Force ID: 237212.",
   id: "GHSA-4j45-5pwj-x33m",
   modified: "2022-12-06T21:30:46Z",
   published: "2022-12-01T18:30:47Z",
   references: [
      {
         type: "ADVISORY",
         url: "https://nvd.nist.gov/vuln/detail/CVE-2022-41297",
      },
      {
         type: "WEB",
         url: "https://exchange.xforce.ibmcloud.com/vulnerabilities/237212",
      },
      {
         type: "WEB",
         url: "https://www.ibm.com/support/pages/node/6843071",
      },
   ],
   schema_version: "1.4.0",
   severity: [
      {
         score: "CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:H/A:N",
         type: "CVSS_V3",
      },
   ],
}

gsd-2022-41297

Vulnerability from gsd

Modified

2023-12-13 01:19

Details

Aliases

CVE-2022-41297

Aliases

CVE-2022-41297

JSON

To clipboard

{
   GSD: {
      alias: "CVE-2022-41297",
      id: "GSD-2022-41297",
   },
   gsd: {
      metadata: {
         exploitCode: "unknown",
         remediation: "unknown",
         reportConfidence: "confirmed",
         type: "vulnerability",
      },
      osvSchema: {
         aliases: [
            "CVE-2022-41297",
         ],
         details: "IBM Db2U 3.5, 4.0, and 4.5 is vulnerable to cross-site request forgery which could allow an attacker to execute malicious and unauthorized actions transmitted from a user that the website trusts. IBM X-Force ID: 237212.",
         id: "GSD-2022-41297",
         modified: "2023-12-13T01:19:32.990147Z",
         schema_version: "1.4.0",
      },
   },
   namespaces: {
      "cve.org": {
         CVE_data_meta: {
            ASSIGNER: "psirt@us.ibm.com",
            ID: "CVE-2022-41297",
            STATE: "PUBLIC",
         },
         affects: {
            vendor: {
               vendor_data: [
                  {
                     product: {
                        product_data: [
                           {
                              product_name: "Db2U",
                              version: {
                                 version_data: [
                                    {
                                       version_affected: "=",
                                       version_value: "3.5, 4.0, 4.5",
                                    },
                                 ],
                              },
                           },
                        ],
                     },
                     vendor_name: "IBM",
                  },
               ],
            },
         },
         data_format: "MITRE",
         data_type: "CVE",
         data_version: "4.0",
         description: {
            description_data: [
               {
                  lang: "eng",
                  value: "IBM Db2U 3.5, 4.0, and 4.5 is vulnerable to cross-site request forgery which could allow an attacker to execute malicious and unauthorized actions transmitted from a user that the website trusts. IBM X-Force ID: 237212.",
               },
            ],
         },
         generator: {
            engine: "Vulnogram 0.1.0-dev",
         },
         impact: {
            cvss: [
               {
                  attackComplexity: "LOW",
                  attackVector: "NETWORK",
                  availabilityImpact: "NONE",
                  baseScore: 4.3,
                  baseSeverity: "MEDIUM",
                  confidentialityImpact: "NONE",
                  integrityImpact: "LOW",
                  privilegesRequired: "NONE",
                  scope: "UNCHANGED",
                  userInteraction: "REQUIRED",
                  vectorString: "CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N",
                  version: "3.1",
               },
            ],
         },
         problemtype: {
            problemtype_data: [
               {
                  description: [
                     {
                        cweId: "CWE-352",
                        lang: "eng",
                        value: "CWE-352 Cross-Site Request Forgery (CSRF)",
                     },
                  ],
               },
            ],
         },
         references: {
            reference_data: [
               {
                  name: "https://www.ibm.com/support/pages/node/6843071",
                  refsource: "MISC",
                  url: "https://www.ibm.com/support/pages/node/6843071",
               },
               {
                  name: "https://exchange.xforce.ibmcloud.com/vulnerabilities/237212",
                  refsource: "MISC",
                  url: "https://exchange.xforce.ibmcloud.com/vulnerabilities/237212",
               },
            ],
         },
         source: {
            discovery: "UNKNOWN",
         },
      },
      "nvd.nist.gov": {
         configurations: {
            CVE_data_version: "4.0",
            nodes: [
               {
                  children: [],
                  cpe_match: [
                     {
                        cpe23Uri: "cpe:2.3:a:ibm:db2u:3.5:*:*:*:*:*:*:*",
                        cpe_name: [],
                        vulnerable: true,
                     },
                     {
                        cpe23Uri: "cpe:2.3:a:ibm:db2u:4.0:*:*:*:*:*:*:*",
                        cpe_name: [],
                        vulnerable: true,
                     },
                     {
                        cpe23Uri: "cpe:2.3:a:ibm:db2u:4.5:*:*:*:*:*:*:*",
                        cpe_name: [],
                        vulnerable: true,
                     },
                     {
                        cpe23Uri: "cpe:2.3:a:ibm:db2_warehouse_on_cloud_pak_for_data:*:*:*:*:*:*:*:*",
                        cpe_name: [],
                        versionEndExcluding: "4.6",
                        versionStartIncluding: "3.5",
                        vulnerable: true,
                     },
                     {
                        cpe23Uri: "cpe:2.3:a:ibm:db2_on_cloud_pak_for_data:*:*:*:*:*:*:*:*",
                        cpe_name: [],
                        versionEndExcluding: "4.6",
                        versionStartIncluding: "3.5",
                        vulnerable: true,
                     },
                  ],
                  operator: "OR",
               },
            ],
         },
         cve: {
            CVE_data_meta: {
               ASSIGNER: "psirt@us.ibm.com",
               ID: "CVE-2022-41297",
            },
            data_format: "MITRE",
            data_type: "CVE",
            data_version: "4.0",
            description: {
               description_data: [
                  {
                     lang: "en",
                     value: "IBM Db2U 3.5, 4.0, and 4.5 is vulnerable to cross-site request forgery which could allow an attacker to execute malicious and unauthorized actions transmitted from a user that the website trusts. IBM X-Force ID: 237212.",
                  },
               ],
            },
            problemtype: {
               problemtype_data: [
                  {
                     description: [
                        {
                           lang: "en",
                           value: "CWE-352",
                        },
                     ],
                  },
               ],
            },
            references: {
               reference_data: [
                  {
                     name: "https://exchange.xforce.ibmcloud.com/vulnerabilities/237212",
                     refsource: "MISC",
                     tags: [
                        "Broken Link",
                        "VDB Entry",
                        "Vendor Advisory",
                     ],
                     url: "https://exchange.xforce.ibmcloud.com/vulnerabilities/237212",
                  },
                  {
                     name: "https://www.ibm.com/support/pages/node/6843071",
                     refsource: "MISC",
                     tags: [
                        "Vendor Advisory",
                     ],
                     url: "https://www.ibm.com/support/pages/node/6843071",
                  },
               ],
            },
         },
         impact: {
            baseMetricV3: {
               cvssV3: {
                  attackComplexity: "LOW",
                  attackVector: "NETWORK",
                  availabilityImpact: "NONE",
                  baseScore: 6.5,
                  baseSeverity: "MEDIUM",
                  confidentialityImpact: "NONE",
                  integrityImpact: "HIGH",
                  privilegesRequired: "NONE",
                  scope: "UNCHANGED",
                  userInteraction: "REQUIRED",
                  vectorString: "CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:H/A:N",
                  version: "3.1",
               },
               exploitabilityScore: 2.8,
               impactScore: 3.6,
            },
         },
         lastModifiedDate: "2022-12-06T19:04Z",
         publishedDate: "2022-12-01T18:15Z",
      },
   },
}

All sightings related to this event Export sightings related to this event

Sightings

Author	Source	Type	Date

Nomenclature

Seen: The vulnerability was mentioned, discussed, or seen somewhere by the user.
Confirmed: The vulnerability is confirmed from an analyst perspective.
Exploited: This vulnerability was exploited and seen by the user reporting the sighting.
Patched: This vulnerability was successfully patched by the user reporting the sighting.
Not exploited: This vulnerability was not exploited or seen by the user reporting the sighting.
Not confirmed: The user expresses doubt about the veracity of the vulnerability.
Not patched: This vulnerability was not successfully patched by the user reporting the sighting.

Action not permitted

cve-2022-41297

Vulnerability from cvelistv5

fkie_cve-2022-41297

Vulnerability from fkie_nvd

wid-sec-w-2022-2339

Vulnerability from csaf_certbund

WID-SEC-W-2022-2339

Vulnerability from csaf_certbund

ghsa-4j45-5pwj-x33m

Vulnerability from github

gsd-2022-41297

Vulnerability from gsd

Tags

Sightings

Nomenclature