cvelistv5 - cve-2024-35137

CVE-2024-35137 (GCVE-0-2024-35137)

Vulnerability from cvelistv5

Published

2024-06-28 15:33

Modified

2025-11-03 21:54

Severity ?

6.2 (Medium) - CVSS:3.1/AV:L/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N

CWE

CWE-258 - Empty Password in Configuration File

Summary

IBM Security Access Manager Docker 10.0.0.0 through 10.0.7.1 could allow a local user to possibly elevate their privileges due to sensitive configuration information being exposed. IBM X-Force ID: 292413.

References

URL

Tags

psirt@us.ibm.com	https://exchange.xforce.ibmcloud.com/vulnerabilities/292413	VDB Entry
psirt@us.ibm.com	https://www.ibm.com/support/pages/node/7158790	Vendor Advisory
af854a3a-2127-422b-91ae-364da2661108	http://seclists.org/fulldisclosure/2024/Nov/0
af854a3a-2127-422b-91ae-364da2661108	https://exchange.xforce.ibmcloud.com/vulnerabilities/292413	VDB Entry
af854a3a-2127-422b-91ae-364da2661108	https://www.ibm.com/support/pages/node/7158790	Vendor Advisory

Impacted products

	Vendor	Product	Version
	IBM	Security Verify Access Docker	Version: 10.0.0.0 ≤ 10.0.7.1 cpe:2.3:a:ibm:security_verify_access_docker:10.0.0.0:::::::* cpe:2.3:a:ibm:security_verify_access_docker:10.0.7.1:::::::*

Show details on NVD website

JSON

To clipboard

{
  "containers": {
    "adp": [
      {
        "metrics": [
          {
            "other": {
              "content": {
                "id": "CVE-2024-35137",
                "options": [
                  {
                    "Exploitation": "none"
                  },
                  {
                    "Automatable": "no"
                  },
                  {
                    "Technical Impact": "partial"
                  }
                ],
                "role": "CISA Coordinator",
                "timestamp": "2024-07-12T20:48:30.527671Z",
                "version": "2.0.3"
              },
              "type": "ssvc"
            }
          }
        ],
        "providerMetadata": {
          "dateUpdated": "2024-07-12T20:48:37.133Z",
          "orgId": "134c704f-9b21-4f2e-91b3-4a467353bcc0",
          "shortName": "CISA-ADP"
        },
        "title": "CISA ADP Vulnrichment"
      },
      {
        "providerMetadata": {
          "dateUpdated": "2025-11-03T21:54:50.236Z",
          "orgId": "af854a3a-2127-422b-91ae-364da2661108",
          "shortName": "CVE"
        },
        "references": [
          {
            "tags": [
              "vendor-advisory",
              "x_transferred"
            ],
            "url": "https://www.ibm.com/support/pages/node/7158790"
          },
          {
            "tags": [
              "vdb-entry",
              "x_transferred"
            ],
            "url": "https://exchange.xforce.ibmcloud.com/vulnerabilities/292413"
          },
          {
            "url": "http://seclists.org/fulldisclosure/2024/Nov/0"
          }
        ],
        "title": "CVE Program Container"
      }
    ],
    "cna": {
      "affected": [
        {
          "cpes": [
            "cpe:2.3:a:ibm:security_verify_access_docker:10.0.0.0:*:*:*:*:*:*:*",
            "cpe:2.3:a:ibm:security_verify_access_docker:10.0.7.1:*:*:*:*:*:*:*"
          ],
          "defaultStatus": "unaffected",
          "product": "Security Verify Access Docker",
          "vendor": "IBM",
          "versions": [
            {
              "lessThanOrEqual": "10.0.7.1",
              "status": "affected",
              "version": "10.0.0.0",
              "versionType": "semver"
            }
          ]
        }
      ],
      "descriptions": [
        {
          "lang": "en",
          "supportingMedia": [
            {
              "base64": false,
              "type": "text/html",
              "value": "IBM Security Access Manager Docker 10.0.0.0 through 10.0.7.1 could allow a local user to possibly elevate their privileges due to sensitive configuration information being exposed.   IBM X-Force ID:  292413."
            }
          ],
          "value": "IBM Security Access Manager Docker 10.0.0.0 through 10.0.7.1 could allow a local user to possibly elevate their privileges due to sensitive configuration information being exposed.   IBM X-Force ID:  292413."
        }
      ],
      "metrics": [
        {
          "cvssV3_1": {
            "attackComplexity": "LOW",
            "attackVector": "LOCAL",
            "availabilityImpact": "NONE",
            "baseScore": 6.2,
            "baseSeverity": "MEDIUM",
            "confidentialityImpact": "HIGH",
            "integrityImpact": "NONE",
            "privilegesRequired": "NONE",
            "scope": "UNCHANGED",
            "userInteraction": "NONE",
            "vectorString": "CVSS:3.1/AV:L/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N",
            "version": "3.1"
          },
          "format": "CVSS",
          "scenarios": [
            {
              "lang": "en",
              "value": "GENERAL"
            }
          ]
        }
      ],
      "problemTypes": [
        {
          "descriptions": [
            {
              "cweId": "CWE-258",
              "description": "CWE-258 Empty Password in Configuration File",
              "lang": "en",
              "type": "CWE"
            }
          ]
        }
      ],
      "providerMetadata": {
        "dateUpdated": "2024-06-28T15:33:11.156Z",
        "orgId": "9a959283-ebb5-44b6-b705-dcc2bbced522",
        "shortName": "ibm"
      },
      "references": [
        {
          "tags": [
            "vendor-advisory"
          ],
          "url": "https://www.ibm.com/support/pages/node/7158790"
        },
        {
          "tags": [
            "vdb-entry"
          ],
          "url": "https://exchange.xforce.ibmcloud.com/vulnerabilities/292413"
        }
      ],
      "source": {
        "discovery": "UNKNOWN"
      },
      "title": "IBM Security Access Manager Docker information disclosure",
      "x_generator": {
        "engine": "Vulnogram 0.2.0"
      }
    }
  },
  "cveMetadata": {
    "assignerOrgId": "9a959283-ebb5-44b6-b705-dcc2bbced522",
    "assignerShortName": "ibm",
    "cveId": "CVE-2024-35137",
    "datePublished": "2024-06-28T15:33:11.156Z",
    "dateReserved": "2024-05-09T16:27:27.133Z",
    "dateUpdated": "2025-11-03T21:54:50.236Z",
    "state": "PUBLISHED"
  },
  "dataType": "CVE_RECORD",
  "dataVersion": "5.2",
  "vulnerability-lookup:meta": {
    "nvd": "{\"cve\":{\"id\":\"CVE-2024-35137\",\"sourceIdentifier\":\"psirt@us.ibm.com\",\"published\":\"2024-06-28T16:15:04.150\",\"lastModified\":\"2025-11-03T22:16:54.880\",\"vulnStatus\":\"Modified\",\"cveTags\":[],\"descriptions\":[{\"lang\":\"en\",\"value\":\"IBM Security Access Manager Docker 10.0.0.0 through 10.0.7.1 could allow a local user to possibly elevate their privileges due to sensitive configuration information being exposed.   IBM X-Force ID:  292413.\"},{\"lang\":\"es\",\"value\":\"IBM Security Access Manager Docker 10.0.0.0 a 10.0.7.1 podr\u00eda permitir que un usuario local posiblemente eleve sus privilegios debido a la exposici\u00f3n de informaci\u00f3n de configuraci\u00f3n confidencial. ID de IBM X-Force: 292413.\"}],\"metrics\":{\"cvssMetricV31\":[{\"source\":\"psirt@us.ibm.com\",\"type\":\"Secondary\",\"cvssData\":{\"version\":\"3.1\",\"vectorString\":\"CVSS:3.1/AV:L/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N\",\"baseScore\":6.2,\"baseSeverity\":\"MEDIUM\",\"attackVector\":\"LOCAL\",\"attackComplexity\":\"LOW\",\"privilegesRequired\":\"NONE\",\"userInteraction\":\"NONE\",\"scope\":\"UNCHANGED\",\"confidentialityImpact\":\"HIGH\",\"integrityImpact\":\"NONE\",\"availabilityImpact\":\"NONE\"},\"exploitabilityScore\":2.5,\"impactScore\":3.6},{\"source\":\"nvd@nist.gov\",\"type\":\"Primary\",\"cvssData\":{\"version\":\"3.1\",\"vectorString\":\"CVSS:3.1/AV:L/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N\",\"baseScore\":6.2,\"baseSeverity\":\"MEDIUM\",\"attackVector\":\"LOCAL\",\"attackComplexity\":\"LOW\",\"privilegesRequired\":\"NONE\",\"userInteraction\":\"NONE\",\"scope\":\"UNCHANGED\",\"confidentialityImpact\":\"HIGH\",\"integrityImpact\":\"NONE\",\"availabilityImpact\":\"NONE\"},\"exploitabilityScore\":2.5,\"impactScore\":3.6}]},\"weaknesses\":[{\"source\":\"psirt@us.ibm.com\",\"type\":\"Secondary\",\"description\":[{\"lang\":\"en\",\"value\":\"CWE-258\"}]},{\"source\":\"nvd@nist.gov\",\"type\":\"Primary\",\"description\":[{\"lang\":\"en\",\"value\":\"CWE-521\"}]}],\"configurations\":[{\"nodes\":[{\"operator\":\"OR\",\"negate\":false,\"cpeMatch\":[{\"vulnerable\":true,\"criteria\":\"cpe:2.3:a:ibm:security_access_manager:*:*:*:*:*:*:*:*\",\"versionStartIncluding\":\"10.0.0.0\",\"versionEndIncluding\":\"10.0.7.1\",\"matchCriteriaId\":\"DF3C8827-4FA1-4579-87EE-6D78E83DE0A6\"}]}]}],\"references\":[{\"url\":\"https://exchange.xforce.ibmcloud.com/vulnerabilities/292413\",\"source\":\"psirt@us.ibm.com\",\"tags\":[\"VDB Entry\"]},{\"url\":\"https://www.ibm.com/support/pages/node/7158790\",\"source\":\"psirt@us.ibm.com\",\"tags\":[\"Vendor Advisory\"]},{\"url\":\"http://seclists.org/fulldisclosure/2024/Nov/0\",\"source\":\"af854a3a-2127-422b-91ae-364da2661108\"},{\"url\":\"https://exchange.xforce.ibmcloud.com/vulnerabilities/292413\",\"source\":\"af854a3a-2127-422b-91ae-364da2661108\",\"tags\":[\"VDB Entry\"]},{\"url\":\"https://www.ibm.com/support/pages/node/7158790\",\"source\":\"af854a3a-2127-422b-91ae-364da2661108\",\"tags\":[\"Vendor Advisory\"]}]}}",
    "vulnrichment": {
      "containers": "{\"adp\": [{\"title\": \"CVE Program Container\", \"references\": [{\"url\": \"https://www.ibm.com/support/pages/node/7158790\", \"tags\": [\"vendor-advisory\", \"x_transferred\"]}, {\"url\": \"https://exchange.xforce.ibmcloud.com/vulnerabilities/292413\", \"tags\": [\"vdb-entry\", \"x_transferred\"]}, {\"url\": \"http://seclists.org/fulldisclosure/2024/Nov/0\"}], \"providerMetadata\": {\"orgId\": \"af854a3a-2127-422b-91ae-364da2661108\", \"shortName\": \"CVE\", \"dateUpdated\": \"2025-11-03T21:54:50.236Z\"}}, {\"title\": \"CISA ADP Vulnrichment\", \"metrics\": [{\"other\": {\"type\": \"ssvc\", \"content\": {\"id\": \"CVE-2024-35137\", \"role\": \"CISA Coordinator\", \"options\": [{\"Exploitation\": \"none\"}, {\"Automatable\": \"no\"}, {\"Technical Impact\": \"partial\"}], \"version\": \"2.0.3\", \"timestamp\": \"2024-07-12T20:48:30.527671Z\"}}}], \"providerMetadata\": {\"orgId\": \"134c704f-9b21-4f2e-91b3-4a467353bcc0\", \"shortName\": \"CISA-ADP\", \"dateUpdated\": \"2024-07-12T20:48:34.749Z\"}}], \"cna\": {\"title\": \"IBM Security Access Manager Docker information disclosure\", \"source\": {\"discovery\": \"UNKNOWN\"}, \"metrics\": [{\"format\": \"CVSS\", \"cvssV3_1\": {\"scope\": \"UNCHANGED\", \"version\": \"3.1\", \"baseScore\": 6.2, \"attackVector\": \"LOCAL\", \"baseSeverity\": \"MEDIUM\", \"vectorString\": \"CVSS:3.1/AV:L/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N\", \"integrityImpact\": \"NONE\", \"userInteraction\": \"NONE\", \"attackComplexity\": \"LOW\", \"availabilityImpact\": \"NONE\", \"privilegesRequired\": \"NONE\", \"confidentialityImpact\": \"HIGH\"}, \"scenarios\": [{\"lang\": \"en\", \"value\": \"GENERAL\"}]}], \"affected\": [{\"cpes\": [\"cpe:2.3:a:ibm:security_verify_access_docker:10.0.0.0:*:*:*:*:*:*:*\", \"cpe:2.3:a:ibm:security_verify_access_docker:10.0.7.1:*:*:*:*:*:*:*\"], \"vendor\": \"IBM\", \"product\": \"Security Verify Access Docker\", \"versions\": [{\"status\": \"affected\", \"version\": \"10.0.0.0\", \"versionType\": \"semver\", \"lessThanOrEqual\": \"10.0.7.1\"}], \"defaultStatus\": \"unaffected\"}], \"references\": [{\"url\": \"https://www.ibm.com/support/pages/node/7158790\", \"tags\": [\"vendor-advisory\"]}, {\"url\": \"https://exchange.xforce.ibmcloud.com/vulnerabilities/292413\", \"tags\": [\"vdb-entry\"]}], \"x_generator\": {\"engine\": \"Vulnogram 0.2.0\"}, \"descriptions\": [{\"lang\": \"en\", \"value\": \"IBM Security Access Manager Docker 10.0.0.0 through 10.0.7.1 could allow a local user to possibly elevate their privileges due to sensitive configuration information being exposed.   IBM X-Force ID:  292413.\", \"supportingMedia\": [{\"type\": \"text/html\", \"value\": \"IBM Security Access Manager Docker 10.0.0.0 through 10.0.7.1 could allow a local user to possibly elevate their privileges due to sensitive configuration information being exposed.   IBM X-Force ID:  292413.\", \"base64\": false}]}], \"problemTypes\": [{\"descriptions\": [{\"lang\": \"en\", \"type\": \"CWE\", \"cweId\": \"CWE-258\", \"description\": \"CWE-258 Empty Password in Configuration File\"}]}], \"providerMetadata\": {\"orgId\": \"9a959283-ebb5-44b6-b705-dcc2bbced522\", \"shortName\": \"ibm\", \"dateUpdated\": \"2024-06-28T15:33:11.156Z\"}}}",
      "cveMetadata": "{\"cveId\": \"CVE-2024-35137\", \"state\": \"PUBLISHED\", \"dateUpdated\": \"2025-11-03T21:54:50.236Z\", \"dateReserved\": \"2024-05-09T16:27:27.133Z\", \"assignerOrgId\": \"9a959283-ebb5-44b6-b705-dcc2bbced522\", \"datePublished\": \"2024-06-28T15:33:11.156Z\", \"assignerShortName\": \"ibm\"}",
      "dataType": "CVE_RECORD",
      "dataVersion": "5.2"
    }
  }
}

wid-sec-w-2024-1462

Vulnerability from csaf_certbund

Published

2024-06-25 22:00

Modified

2024-06-25 22:00

Summary

IBM Security Verify Access: Mehrere Schwachstellen

Notes

Das BSI ist als Anbieter für die eigenen, zur Nutzung bereitgestellten Inhalte nach den allgemeinen Gesetzen verantwortlich. Nutzerinnen und Nutzer sind jedoch dafür verantwortlich, die Verwendung und/oder die Umsetzung der mit den Inhalten bereitgestellten Informationen sorgfältig im Einzelfall zu prüfen.

Produktbeschreibung

IBM Security Verify Access, ehemals IBM Security Access Manager (ISAM), ist eine Zugriffsverwaltungslösung.

Angriff

Ein Angreifer kann mehrere Schwachstellen in IBM Security Verify Access ausnutzen, um Sicherheitsmaßnahmen zu umgehen, vertrauliche Informationen offenzulegen oder seine Berechtigungen zu erweitern.

Betroffene Betriebssysteme

- Sonstiges

JSON

To clipboard

{
  "document": {
    "aggregate_severity": {
      "text": "mittel"
    },
    "category": "csaf_base",
    "csaf_version": "2.0",
    "distribution": {
      "tlp": {
        "label": "WHITE",
        "url": "https://www.first.org/tlp/"
      }
    },
    "lang": "de-DE",
    "notes": [
      {
        "category": "legal_disclaimer",
        "text": "Das BSI ist als Anbieter f\u00fcr die eigenen, zur Nutzung bereitgestellten Inhalte nach den allgemeinen Gesetzen verantwortlich. Nutzerinnen und Nutzer sind jedoch daf\u00fcr verantwortlich, die Verwendung und/oder die Umsetzung der mit den Inhalten bereitgestellten Informationen sorgf\u00e4ltig im Einzelfall zu pr\u00fcfen."
      },
      {
        "category": "description",
        "text": "IBM Security Verify Access, ehemals IBM Security Access Manager (ISAM), ist eine Zugriffsverwaltungsl\u00f6sung.",
        "title": "Produktbeschreibung"
      },
      {
        "category": "summary",
        "text": "Ein Angreifer kann mehrere Schwachstellen in IBM Security Verify Access ausnutzen, um Sicherheitsma\u00dfnahmen zu umgehen, vertrauliche Informationen offenzulegen oder seine Berechtigungen zu erweitern.",
        "title": "Angriff"
      },
      {
        "category": "general",
        "text": "- Sonstiges",
        "title": "Betroffene Betriebssysteme"
      }
    ],
    "publisher": {
      "category": "other",
      "contact_details": "csaf-provider@cert-bund.de",
      "name": "Bundesamt f\u00fcr Sicherheit in der Informationstechnik",
      "namespace": "https://www.bsi.bund.de"
    },
    "references": [
      {
        "category": "self",
        "summary": "WID-SEC-W-2024-1462 - CSAF Version",
        "url": "https://wid.cert-bund.de/.well-known/csaf/white/2024/wid-sec-w-2024-1462.json"
      },
      {
        "category": "self",
        "summary": "WID-SEC-2024-1462 - Portal Version",
        "url": "https://wid.cert-bund.de/portal/wid/securityadvisory?name=WID-SEC-2024-1462"
      },
      {
        "category": "external",
        "summary": "IBM Security Bulletin vom 2024-06-25",
        "url": "https://www.ibm.com/support/pages/node/7158790"
      }
    ],
    "source_lang": "en-US",
    "title": "IBM Security Verify Access: Mehrere Schwachstellen",
    "tracking": {
      "current_release_date": "2024-06-25T22:00:00.000+00:00",
      "generator": {
        "date": "2024-08-15T18:10:36.486+00:00",
        "engine": {
          "name": "BSI-WID",
          "version": "1.3.5"
        }
      },
      "id": "WID-SEC-W-2024-1462",
      "initial_release_date": "2024-06-25T22:00:00.000+00:00",
      "revision_history": [
        {
          "date": "2024-06-25T22:00:00.000+00:00",
          "number": "1",
          "summary": "Initiale Fassung"
        }
      ],
      "status": "final",
      "version": "1"
    }
  },
  "product_tree": {
    "branches": [
      {
        "branches": [
          {
            "branches": [
              {
                "category": "product_version_range",
                "name": "\u003c10.0.8.0",
                "product": {
                  "name": "IBM Security Verify Access \u003c10.0.8.0",
                  "product_id": "T035658"
                }
              }
            ],
            "category": "product_name",
            "name": "Security Verify Access"
          }
        ],
        "category": "vendor",
        "name": "IBM"
      }
    ]
  },
  "vulnerabilities": [
    {
      "cve": "CVE-2023-30997",
      "notes": [
        {
          "category": "description",
          "text": "Es bestehen mehrere Schwachstellen in IBM Security Verify Access. Diese Fehler bestehen in der Manager Appliance und im Manager Container aufgrund eines schwachen kryptografischen Algorithmus, falscher Standardberechtigungen und einer ungeeigneten Zugriffs- und Berechtigungskontrolle. Ein lokaler oder entfernter, anonymer Angreifer kann diese Schwachstellen ausnutzen, um Sicherheitsma\u00dfnahmen zu umgehen, vertrauliche Informationen offenzulegen oder seine Berechtigungen zu erweitern."
        }
      ],
      "release_date": "2024-06-25T22:00:00.000+00:00",
      "title": "CVE-2023-30997"
    },
    {
      "cve": "CVE-2023-30998",
      "notes": [
        {
          "category": "description",
          "text": "Es bestehen mehrere Schwachstellen in IBM Security Verify Access. Diese Fehler bestehen in der Manager Appliance und im Manager Container aufgrund eines schwachen kryptografischen Algorithmus, falscher Standardberechtigungen und einer ungeeigneten Zugriffs- und Berechtigungskontrolle. Ein lokaler oder entfernter, anonymer Angreifer kann diese Schwachstellen ausnutzen, um Sicherheitsma\u00dfnahmen zu umgehen, vertrauliche Informationen offenzulegen oder seine Berechtigungen zu erweitern."
        }
      ],
      "release_date": "2024-06-25T22:00:00.000+00:00",
      "title": "CVE-2023-30998"
    },
    {
      "cve": "CVE-2023-38368",
      "notes": [
        {
          "category": "description",
          "text": "Es bestehen mehrere Schwachstellen in IBM Security Verify Access. Diese Fehler bestehen in der Manager Appliance und im Manager Container aufgrund eines schwachen kryptografischen Algorithmus, falscher Standardberechtigungen und einer ungeeigneten Zugriffs- und Berechtigungskontrolle. Ein lokaler oder entfernter, anonymer Angreifer kann diese Schwachstellen ausnutzen, um Sicherheitsma\u00dfnahmen zu umgehen, vertrauliche Informationen offenzulegen oder seine Berechtigungen zu erweitern."
        }
      ],
      "release_date": "2024-06-25T22:00:00.000+00:00",
      "title": "CVE-2023-38368"
    },
    {
      "cve": "CVE-2023-38370",
      "notes": [
        {
          "category": "description",
          "text": "Es bestehen mehrere Schwachstellen in IBM Security Verify Access. Diese Fehler bestehen in der Manager Appliance und im Manager Container aufgrund eines schwachen kryptografischen Algorithmus, falscher Standardberechtigungen und einer ungeeigneten Zugriffs- und Berechtigungskontrolle. Ein lokaler oder entfernter, anonymer Angreifer kann diese Schwachstellen ausnutzen, um Sicherheitsma\u00dfnahmen zu umgehen, vertrauliche Informationen offenzulegen oder seine Berechtigungen zu erweitern."
        }
      ],
      "release_date": "2024-06-25T22:00:00.000+00:00",
      "title": "CVE-2023-38370"
    },
    {
      "cve": "CVE-2023-38371",
      "notes": [
        {
          "category": "description",
          "text": "Es bestehen mehrere Schwachstellen in IBM Security Verify Access. Diese Fehler bestehen in der Manager Appliance und im Manager Container aufgrund eines schwachen kryptografischen Algorithmus, falscher Standardberechtigungen und einer ungeeigneten Zugriffs- und Berechtigungskontrolle. Ein lokaler oder entfernter, anonymer Angreifer kann diese Schwachstellen ausnutzen, um Sicherheitsma\u00dfnahmen zu umgehen, vertrauliche Informationen offenzulegen oder seine Berechtigungen zu erweitern."
        }
      ],
      "release_date": "2024-06-25T22:00:00.000+00:00",
      "title": "CVE-2023-38371"
    },
    {
      "cve": "CVE-2024-35137",
      "notes": [
        {
          "category": "description",
          "text": "Es bestehen mehrere Schwachstellen in IBM Security Verify Access. Diese Fehler bestehen in der Manager Appliance und im Manager Container aufgrund eines schwachen kryptografischen Algorithmus, falscher Standardberechtigungen und einer ungeeigneten Zugriffs- und Berechtigungskontrolle. Ein lokaler oder entfernter, anonymer Angreifer kann diese Schwachstellen ausnutzen, um Sicherheitsma\u00dfnahmen zu umgehen, vertrauliche Informationen offenzulegen oder seine Berechtigungen zu erweitern."
        }
      ],
      "release_date": "2024-06-25T22:00:00.000+00:00",
      "title": "CVE-2024-35137"
    },
    {
      "cve": "CVE-2024-35139",
      "notes": [
        {
          "category": "description",
          "text": "Es bestehen mehrere Schwachstellen in IBM Security Verify Access. Diese Fehler bestehen in der Manager Appliance und im Manager Container aufgrund eines schwachen kryptografischen Algorithmus, falscher Standardberechtigungen und einer ungeeigneten Zugriffs- und Berechtigungskontrolle. Ein lokaler oder entfernter, anonymer Angreifer kann diese Schwachstellen ausnutzen, um Sicherheitsma\u00dfnahmen zu umgehen, vertrauliche Informationen offenzulegen oder seine Berechtigungen zu erweitern."
        }
      ],
      "release_date": "2024-06-25T22:00:00.000+00:00",
      "title": "CVE-2024-35139"
    }
  ]
}

WID-SEC-W-2024-1462

Vulnerability from csaf_certbund

Published

2024-06-25 22:00

Modified

2024-06-25 22:00

Summary

IBM Security Verify Access: Mehrere Schwachstellen

Notes

Produktbeschreibung

IBM Security Verify Access, ehemals IBM Security Access Manager (ISAM), ist eine Zugriffsverwaltungslösung.

Angriff

Ein Angreifer kann mehrere Schwachstellen in IBM Security Verify Access ausnutzen, um Sicherheitsmaßnahmen zu umgehen, vertrauliche Informationen offenzulegen oder seine Berechtigungen zu erweitern.

Betroffene Betriebssysteme

- Sonstiges

JSON

To clipboard

{
  "document": {
    "aggregate_severity": {
      "text": "mittel"
    },
    "category": "csaf_base",
    "csaf_version": "2.0",
    "distribution": {
      "tlp": {
        "label": "WHITE",
        "url": "https://www.first.org/tlp/"
      }
    },
    "lang": "de-DE",
    "notes": [
      {
        "category": "legal_disclaimer",
        "text": "Das BSI ist als Anbieter f\u00fcr die eigenen, zur Nutzung bereitgestellten Inhalte nach den allgemeinen Gesetzen verantwortlich. Nutzerinnen und Nutzer sind jedoch daf\u00fcr verantwortlich, die Verwendung und/oder die Umsetzung der mit den Inhalten bereitgestellten Informationen sorgf\u00e4ltig im Einzelfall zu pr\u00fcfen."
      },
      {
        "category": "description",
        "text": "IBM Security Verify Access, ehemals IBM Security Access Manager (ISAM), ist eine Zugriffsverwaltungsl\u00f6sung.",
        "title": "Produktbeschreibung"
      },
      {
        "category": "summary",
        "text": "Ein Angreifer kann mehrere Schwachstellen in IBM Security Verify Access ausnutzen, um Sicherheitsma\u00dfnahmen zu umgehen, vertrauliche Informationen offenzulegen oder seine Berechtigungen zu erweitern.",
        "title": "Angriff"
      },
      {
        "category": "general",
        "text": "- Sonstiges",
        "title": "Betroffene Betriebssysteme"
      }
    ],
    "publisher": {
      "category": "other",
      "contact_details": "csaf-provider@cert-bund.de",
      "name": "Bundesamt f\u00fcr Sicherheit in der Informationstechnik",
      "namespace": "https://www.bsi.bund.de"
    },
    "references": [
      {
        "category": "self",
        "summary": "WID-SEC-W-2024-1462 - CSAF Version",
        "url": "https://wid.cert-bund.de/.well-known/csaf/white/2024/wid-sec-w-2024-1462.json"
      },
      {
        "category": "self",
        "summary": "WID-SEC-2024-1462 - Portal Version",
        "url": "https://wid.cert-bund.de/portal/wid/securityadvisory?name=WID-SEC-2024-1462"
      },
      {
        "category": "external",
        "summary": "IBM Security Bulletin vom 2024-06-25",
        "url": "https://www.ibm.com/support/pages/node/7158790"
      }
    ],
    "source_lang": "en-US",
    "title": "IBM Security Verify Access: Mehrere Schwachstellen",
    "tracking": {
      "current_release_date": "2024-06-25T22:00:00.000+00:00",
      "generator": {
        "date": "2024-08-15T18:10:36.486+00:00",
        "engine": {
          "name": "BSI-WID",
          "version": "1.3.5"
        }
      },
      "id": "WID-SEC-W-2024-1462",
      "initial_release_date": "2024-06-25T22:00:00.000+00:00",
      "revision_history": [
        {
          "date": "2024-06-25T22:00:00.000+00:00",
          "number": "1",
          "summary": "Initiale Fassung"
        }
      ],
      "status": "final",
      "version": "1"
    }
  },
  "product_tree": {
    "branches": [
      {
        "branches": [
          {
            "branches": [
              {
                "category": "product_version_range",
                "name": "\u003c10.0.8.0",
                "product": {
                  "name": "IBM Security Verify Access \u003c10.0.8.0",
                  "product_id": "T035658"
                }
              }
            ],
            "category": "product_name",
            "name": "Security Verify Access"
          }
        ],
        "category": "vendor",
        "name": "IBM"
      }
    ]
  },
  "vulnerabilities": [
    {
      "cve": "CVE-2023-30997",
      "notes": [
        {
          "category": "description",
          "text": "Es bestehen mehrere Schwachstellen in IBM Security Verify Access. Diese Fehler bestehen in der Manager Appliance und im Manager Container aufgrund eines schwachen kryptografischen Algorithmus, falscher Standardberechtigungen und einer ungeeigneten Zugriffs- und Berechtigungskontrolle. Ein lokaler oder entfernter, anonymer Angreifer kann diese Schwachstellen ausnutzen, um Sicherheitsma\u00dfnahmen zu umgehen, vertrauliche Informationen offenzulegen oder seine Berechtigungen zu erweitern."
        }
      ],
      "release_date": "2024-06-25T22:00:00.000+00:00",
      "title": "CVE-2023-30997"
    },
    {
      "cve": "CVE-2023-30998",
      "notes": [
        {
          "category": "description",
          "text": "Es bestehen mehrere Schwachstellen in IBM Security Verify Access. Diese Fehler bestehen in der Manager Appliance und im Manager Container aufgrund eines schwachen kryptografischen Algorithmus, falscher Standardberechtigungen und einer ungeeigneten Zugriffs- und Berechtigungskontrolle. Ein lokaler oder entfernter, anonymer Angreifer kann diese Schwachstellen ausnutzen, um Sicherheitsma\u00dfnahmen zu umgehen, vertrauliche Informationen offenzulegen oder seine Berechtigungen zu erweitern."
        }
      ],
      "release_date": "2024-06-25T22:00:00.000+00:00",
      "title": "CVE-2023-30998"
    },
    {
      "cve": "CVE-2023-38368",
      "notes": [
        {
          "category": "description",
          "text": "Es bestehen mehrere Schwachstellen in IBM Security Verify Access. Diese Fehler bestehen in der Manager Appliance und im Manager Container aufgrund eines schwachen kryptografischen Algorithmus, falscher Standardberechtigungen und einer ungeeigneten Zugriffs- und Berechtigungskontrolle. Ein lokaler oder entfernter, anonymer Angreifer kann diese Schwachstellen ausnutzen, um Sicherheitsma\u00dfnahmen zu umgehen, vertrauliche Informationen offenzulegen oder seine Berechtigungen zu erweitern."
        }
      ],
      "release_date": "2024-06-25T22:00:00.000+00:00",
      "title": "CVE-2023-38368"
    },
    {
      "cve": "CVE-2023-38370",
      "notes": [
        {
          "category": "description",
          "text": "Es bestehen mehrere Schwachstellen in IBM Security Verify Access. Diese Fehler bestehen in der Manager Appliance und im Manager Container aufgrund eines schwachen kryptografischen Algorithmus, falscher Standardberechtigungen und einer ungeeigneten Zugriffs- und Berechtigungskontrolle. Ein lokaler oder entfernter, anonymer Angreifer kann diese Schwachstellen ausnutzen, um Sicherheitsma\u00dfnahmen zu umgehen, vertrauliche Informationen offenzulegen oder seine Berechtigungen zu erweitern."
        }
      ],
      "release_date": "2024-06-25T22:00:00.000+00:00",
      "title": "CVE-2023-38370"
    },
    {
      "cve": "CVE-2023-38371",
      "notes": [
        {
          "category": "description",
          "text": "Es bestehen mehrere Schwachstellen in IBM Security Verify Access. Diese Fehler bestehen in der Manager Appliance und im Manager Container aufgrund eines schwachen kryptografischen Algorithmus, falscher Standardberechtigungen und einer ungeeigneten Zugriffs- und Berechtigungskontrolle. Ein lokaler oder entfernter, anonymer Angreifer kann diese Schwachstellen ausnutzen, um Sicherheitsma\u00dfnahmen zu umgehen, vertrauliche Informationen offenzulegen oder seine Berechtigungen zu erweitern."
        }
      ],
      "release_date": "2024-06-25T22:00:00.000+00:00",
      "title": "CVE-2023-38371"
    },
    {
      "cve": "CVE-2024-35137",
      "notes": [
        {
          "category": "description",
          "text": "Es bestehen mehrere Schwachstellen in IBM Security Verify Access. Diese Fehler bestehen in der Manager Appliance und im Manager Container aufgrund eines schwachen kryptografischen Algorithmus, falscher Standardberechtigungen und einer ungeeigneten Zugriffs- und Berechtigungskontrolle. Ein lokaler oder entfernter, anonymer Angreifer kann diese Schwachstellen ausnutzen, um Sicherheitsma\u00dfnahmen zu umgehen, vertrauliche Informationen offenzulegen oder seine Berechtigungen zu erweitern."
        }
      ],
      "release_date": "2024-06-25T22:00:00.000+00:00",
      "title": "CVE-2024-35137"
    },
    {
      "cve": "CVE-2024-35139",
      "notes": [
        {
          "category": "description",
          "text": "Es bestehen mehrere Schwachstellen in IBM Security Verify Access. Diese Fehler bestehen in der Manager Appliance und im Manager Container aufgrund eines schwachen kryptografischen Algorithmus, falscher Standardberechtigungen und einer ungeeigneten Zugriffs- und Berechtigungskontrolle. Ein lokaler oder entfernter, anonymer Angreifer kann diese Schwachstellen ausnutzen, um Sicherheitsma\u00dfnahmen zu umgehen, vertrauliche Informationen offenzulegen oder seine Berechtigungen zu erweitern."
        }
      ],
      "release_date": "2024-06-25T22:00:00.000+00:00",
      "title": "CVE-2024-35139"
    }
  ]
}

fkie_cve-2024-35137

Vulnerability from fkie_nvd

Published

2024-06-28 16:15

Modified

2025-11-03 22:16

Severity ?

6.2 (Medium) - CVSS:3.1/AV:L/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
6.2 (Medium) - CVSS:3.1/AV:L/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N

Summary

References

URL	Tags
psirt@us.ibm.com	https://exchange.xforce.ibmcloud.com/vulnerabilities/292413	VDB Entry
psirt@us.ibm.com	https://www.ibm.com/support/pages/node/7158790	Vendor Advisory
af854a3a-2127-422b-91ae-364da2661108	http://seclists.org/fulldisclosure/2024/Nov/0
af854a3a-2127-422b-91ae-364da2661108	https://exchange.xforce.ibmcloud.com/vulnerabilities/292413	VDB Entry
af854a3a-2127-422b-91ae-364da2661108	https://www.ibm.com/support/pages/node/7158790	Vendor Advisory

Impacted products

	Vendor	Product	Version
	ibm	security_access_manager	*

JSON

To clipboard

{
  "configurations": [
    {
      "nodes": [
        {
          "cpeMatch": [
            {
              "criteria": "cpe:2.3:a:ibm:security_access_manager:*:*:*:*:*:*:*:*",
              "matchCriteriaId": "DF3C8827-4FA1-4579-87EE-6D78E83DE0A6",
              "versionEndIncluding": "10.0.7.1",
              "versionStartIncluding": "10.0.0.0",
              "vulnerable": true
            }
          ],
          "negate": false,
          "operator": "OR"
        }
      ]
    }
  ],
  "cveTags": [],
  "descriptions": [
    {
      "lang": "en",
      "value": "IBM Security Access Manager Docker 10.0.0.0 through 10.0.7.1 could allow a local user to possibly elevate their privileges due to sensitive configuration information being exposed.   IBM X-Force ID:  292413."
    },
    {
      "lang": "es",
      "value": "IBM Security Access Manager Docker 10.0.0.0 a 10.0.7.1 podr\u00eda permitir que un usuario local posiblemente eleve sus privilegios debido a la exposici\u00f3n de informaci\u00f3n de configuraci\u00f3n confidencial. ID de IBM X-Force: 292413."
    }
  ],
  "id": "CVE-2024-35137",
  "lastModified": "2025-11-03T22:16:54.880",
  "metrics": {
    "cvssMetricV31": [
      {
        "cvssData": {
          "attackComplexity": "LOW",
          "attackVector": "LOCAL",
          "availabilityImpact": "NONE",
          "baseScore": 6.2,
          "baseSeverity": "MEDIUM",
          "confidentialityImpact": "HIGH",
          "integrityImpact": "NONE",
          "privilegesRequired": "NONE",
          "scope": "UNCHANGED",
          "userInteraction": "NONE",
          "vectorString": "CVSS:3.1/AV:L/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N",
          "version": "3.1"
        },
        "exploitabilityScore": 2.5,
        "impactScore": 3.6,
        "source": "psirt@us.ibm.com",
        "type": "Secondary"
      },
      {
        "cvssData": {
          "attackComplexity": "LOW",
          "attackVector": "LOCAL",
          "availabilityImpact": "NONE",
          "baseScore": 6.2,
          "baseSeverity": "MEDIUM",
          "confidentialityImpact": "HIGH",
          "integrityImpact": "NONE",
          "privilegesRequired": "NONE",
          "scope": "UNCHANGED",
          "userInteraction": "NONE",
          "vectorString": "CVSS:3.1/AV:L/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N",
          "version": "3.1"
        },
        "exploitabilityScore": 2.5,
        "impactScore": 3.6,
        "source": "nvd@nist.gov",
        "type": "Primary"
      }
    ]
  },
  "published": "2024-06-28T16:15:04.150",
  "references": [
    {
      "source": "psirt@us.ibm.com",
      "tags": [
        "VDB Entry"
      ],
      "url": "https://exchange.xforce.ibmcloud.com/vulnerabilities/292413"
    },
    {
      "source": "psirt@us.ibm.com",
      "tags": [
        "Vendor Advisory"
      ],
      "url": "https://www.ibm.com/support/pages/node/7158790"
    },
    {
      "source": "af854a3a-2127-422b-91ae-364da2661108",
      "url": "http://seclists.org/fulldisclosure/2024/Nov/0"
    },
    {
      "source": "af854a3a-2127-422b-91ae-364da2661108",
      "tags": [
        "VDB Entry"
      ],
      "url": "https://exchange.xforce.ibmcloud.com/vulnerabilities/292413"
    },
    {
      "source": "af854a3a-2127-422b-91ae-364da2661108",
      "tags": [
        "Vendor Advisory"
      ],
      "url": "https://www.ibm.com/support/pages/node/7158790"
    }
  ],
  "sourceIdentifier": "psirt@us.ibm.com",
  "vulnStatus": "Modified",
  "weaknesses": [
    {
      "description": [
        {
          "lang": "en",
          "value": "CWE-258"
        }
      ],
      "source": "psirt@us.ibm.com",
      "type": "Secondary"
    },
    {
      "description": [
        {
          "lang": "en",
          "value": "CWE-521"
        }
      ],
      "source": "nvd@nist.gov",
      "type": "Primary"
    }
  ]
}

cnvd-2024-35121

Vulnerability from cnvd

Title

IBM Security Access Manager Docker信息泄露漏洞

Description

IBM Security Access Manager是美国国际商业机器（IBM）公司的一款应用于信息安全管理的产品。该产品通过面向Web、移动和云计算的集成设备来实现访问管理控制。 IBM Security Access Manager Docker存在信息泄露漏洞，该漏洞源于敏感配置信息被暴露，攻击者可利用该漏洞提升权限。

Severity

中

Patch Name

IBM Security Access Manager Docker信息泄露漏洞的补丁

Patch Description

Formal description

厂商已发布了漏洞修复程序，请及时关注更新： https://www.ibm.com/support/pages/node/7158790

Reference

https://exchange.xforce.ibmcloud.com/vulnerabilities/292413

Impacted products

Name
IBM Security Access Manager Docker >=10.0.0.0，<=10.0.7.1

Show details on source website

JSON

To clipboard

{
  "cves": {
    "cve": {
      "cveNumber": "CVE-2024-35137"
    }
  },
  "description": "IBM Security Access Manager\u662f\u7f8e\u56fd\u56fd\u9645\u5546\u4e1a\u673a\u5668\uff08IBM\uff09\u516c\u53f8\u7684\u4e00\u6b3e\u5e94\u7528\u4e8e\u4fe1\u606f\u5b89\u5168\u7ba1\u7406\u7684\u4ea7\u54c1\u3002\u8be5\u4ea7\u54c1\u901a\u8fc7\u9762\u5411Web\u3001\u79fb\u52a8\u548c\u4e91\u8ba1\u7b97\u7684\u96c6\u6210\u8bbe\u5907\u6765\u5b9e\u73b0\u8bbf\u95ee\u7ba1\u7406\u63a7\u5236\u3002\n\nIBM Security Access Manager Docker\u5b58\u5728\u4fe1\u606f\u6cc4\u9732\u6f0f\u6d1e\uff0c\u8be5\u6f0f\u6d1e\u6e90\u4e8e\u654f\u611f\u914d\u7f6e\u4fe1\u606f\u88ab\u66b4\u9732\uff0c\u653b\u51fb\u8005\u53ef\u5229\u7528\u8be5\u6f0f\u6d1e\u63d0\u5347\u6743\u9650\u3002",
  "formalWay": "\u5382\u5546\u5df2\u53d1\u5e03\u4e86\u6f0f\u6d1e\u4fee\u590d\u7a0b\u5e8f\uff0c\u8bf7\u53ca\u65f6\u5173\u6ce8\u66f4\u65b0\uff1a\r\nhttps://www.ibm.com/support/pages/node/7158790",
  "isEvent": "\u901a\u7528\u8f6f\u786c\u4ef6\u6f0f\u6d1e",
  "number": "CNVD-2024-35121",
  "openTime": "2024-08-13",
  "patchDescription": "IBM Security Access Manager\u662f\u7f8e\u56fd\u56fd\u9645\u5546\u4e1a\u673a\u5668\uff08IBM\uff09\u516c\u53f8\u7684\u4e00\u6b3e\u5e94\u7528\u4e8e\u4fe1\u606f\u5b89\u5168\u7ba1\u7406\u7684\u4ea7\u54c1\u3002\u8be5\u4ea7\u54c1\u901a\u8fc7\u9762\u5411Web\u3001\u79fb\u52a8\u548c\u4e91\u8ba1\u7b97\u7684\u96c6\u6210\u8bbe\u5907\u6765\u5b9e\u73b0\u8bbf\u95ee\u7ba1\u7406\u63a7\u5236\u3002\r\n\r\nIBM Security Access Manager Docker\u5b58\u5728\u4fe1\u606f\u6cc4\u9732\u6f0f\u6d1e\uff0c\u8be5\u6f0f\u6d1e\u6e90\u4e8e\u654f\u611f\u914d\u7f6e\u4fe1\u606f\u88ab\u66b4\u9732\uff0c\u653b\u51fb\u8005\u53ef\u5229\u7528\u8be5\u6f0f\u6d1e\u63d0\u5347\u6743\u9650\u3002\u76ee\u524d\uff0c\u4f9b\u5e94\u5546\u53d1\u5e03\u4e86\u5b89\u5168\u516c\u544a\u53ca\u76f8\u5173\u8865\u4e01\u4fe1\u606f\uff0c\u4fee\u590d\u4e86\u6b64\u6f0f\u6d1e\u3002",
  "patchName": "IBM Security Access Manager Docker\u4fe1\u606f\u6cc4\u9732\u6f0f\u6d1e\u7684\u8865\u4e01",
  "products": {
    "product": "IBM Security Access Manager Docker \u003e=10.0.0.0\uff0c\u003c=10.0.7.1"
  },
  "referenceLink": "https://exchange.xforce.ibmcloud.com/vulnerabilities/292413",
  "serverity": "\u4e2d",
  "submitTime": "2024-07-02",
  "title": "IBM Security Access Manager Docker\u4fe1\u606f\u6cc4\u9732\u6f0f\u6d1e"
}

ghsa-jhrr-7ggp-3gv3

Vulnerability from github

Published

2024-06-28 18:31

Modified

2025-11-04 00:30

Severity ?

6.2 (Medium) - CVSS:3.1/AV:L/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N

Details

Show details on source website

JSON

To clipboard

{
  "affected": [],
  "aliases": [
    "CVE-2024-35137"
  ],
  "database_specific": {
    "cwe_ids": [
      "CWE-258",
      "CWE-521"
    ],
    "github_reviewed": false,
    "github_reviewed_at": null,
    "nvd_published_at": "2024-06-28T16:15:04Z",
    "severity": "MODERATE"
  },
  "details": "IBM Security Access Manager Docker 10.0.0.0 through 10.0.7.1 could allow a local user to possibly elevate their privileges due to sensitive configuration information being exposed.   IBM X-Force ID:  292413.",
  "id": "GHSA-jhrr-7ggp-3gv3",
  "modified": "2025-11-04T00:30:50Z",
  "published": "2024-06-28T18:31:42Z",
  "references": [
    {
      "type": "ADVISORY",
      "url": "https://nvd.nist.gov/vuln/detail/CVE-2024-35137"
    },
    {
      "type": "WEB",
      "url": "https://exchange.xforce.ibmcloud.com/vulnerabilities/292413"
    },
    {
      "type": "WEB",
      "url": "https://www.ibm.com/support/pages/node/7158790"
    },
    {
      "type": "WEB",
      "url": "http://seclists.org/fulldisclosure/2024/Nov/0"
    }
  ],
  "schema_version": "1.4.0",
  "severity": [
    {
      "score": "CVSS:3.1/AV:L/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N",
      "type": "CVSS_V3"
    }
  ]
}

Sightings

Author	Source	Type	Date

Nomenclature

Seen: The vulnerability was mentioned, discussed, or seen somewhere by the user.
Confirmed: The vulnerability is confirmed from an analyst perspective.
Published Proof of Concept: A public proof of concept is available for this vulnerability.
Exploited: This vulnerability was exploited and seen by the user reporting the sighting.
Patched: This vulnerability was successfully patched by the user reporting the sighting.
Not exploited: This vulnerability was not exploited or seen by the user reporting the sighting.
Not confirmed: The user expresses doubt about the veracity of the vulnerability.
Not patched: This vulnerability was not successfully patched by the user reporting the sighting.

Action not permitted

CVE-2024-35137 (GCVE-0-2024-35137)

Vulnerability from cvelistv5

wid-sec-w-2024-1462

Vulnerability from csaf_certbund

WID-SEC-W-2024-1462

Vulnerability from csaf_certbund

fkie_cve-2024-35137

Vulnerability from fkie_nvd

cnvd-2024-35121

Vulnerability from cnvd

ghsa-jhrr-7ggp-3gv3

Vulnerability from github

Tags

Sightings

Nomenclature