{
  "document" : {
    "aggregate_severity" : {
      "text" : "mittel"
    },
    "category" : "csaf_base",
    "csaf_version" : "2.0",
    "distribution" : {
      "tlp" : {
        "label" : "WHITE",
        "url" : "https://www.first.org/tlp/"
      }
    },
    "lang" : "de-DE",
    "notes" : [ {
      "category" : "legal_disclaimer",
      "text" : "Das BSI ist als Anbieter für die eigenen, zur Nutzung bereitgestellten Inhalte nach den allgemeinen Gesetzen verantwortlich. Nutzerinnen und Nutzer sind jedoch dafür verantwortlich, die Verwendung und/oder die Umsetzung der mit den Inhalten bereitgestellten Informationen sorgfältig im Einzelfall zu prüfen."
    }, {
      "category" : "description",
      "text" : "Maximo Asset Management ist ein Enterprise-Asset-Management-System, das umfassenden Support für Assets, Maintenance, Ressourcen und Supply-Chain-Management-Anforderungen bietet.",
      "title" : "Produktbeschreibung"
    }, {
      "category" : "summary",
      "text" : "Ein entfernter, anonymer Angreifer kann mehrere Schwachstellen in IBM Maximo Asset Management ausnutzen, um Sicherheitsvorkehrungen zu umgehen und einen Denial-of-Service-Zustand auszulösen.",
      "title" : "Angriff"
    }, {
      "category" : "general",
      "text" : "- Sonstiges",
      "title" : "Betroffene Betriebssysteme"
    } ],
    "publisher" : {
      "category" : "other",
      "contact_details" : "csaf-provider@cert-bund.de",
      "name" : "Bundesamt für Sicherheit in der Informationstechnik",
      "namespace" : "https://www.bsi.bund.de"
    },
    "references" : [ {
      "category" : "self",
      "summary" : "WID-SEC-W-2023-0026 - CSAF Version",
      "url" : "https://wid.cert-bund.de/.well-known/csaf/white/2023/wid-sec-w-2023-0026.json"
    }, {
      "category" : "self",
      "summary" : "WID-SEC-2023-0026 - Portal Version",
      "url" : "https://wid.cert-bund.de/portal/wid/securityadvisory?name=WID-SEC-2023-0026"
    }, {
      "category" : "external",
      "summary" : "IBM Security Bulletin 6956515 vom 2023-02-17",
      "url" : "https://www.ibm.com/support/pages/node/6956515"
    }, {
      "category" : "external",
      "summary" : "IBM Security Advisory vom 2023-01-04",
      "url" : "https://www.ibm.com/support/pages/node/6852667"
    } ],
    "source_lang" : "en-US",
    "title" : "IBM Maximo Asset Management: Mehrere Schwachstellen",
    "tracking" : {
      "current_release_date" : "2023-02-19T23:00:00.000+00:00",
      "generator" : {
        "date" : "2024-08-15T17:40:51.685+00:00",
        "engine" : {
          "name" : "BSI-WID",
          "version" : "1.3.5"
        }
      },
      "id" : "WID-SEC-W-2023-0026",
      "initial_release_date" : "2023-01-04T23:00:00.000+00:00",
      "revision_history" : [ {
        "date" : "2023-01-04T23:00:00.000+00:00",
        "number" : "1",
        "summary" : "Initiale Fassung"
      }, {
        "date" : "2023-02-19T23:00:00.000+00:00",
        "number" : "2",
        "summary" : "Neue Updates von IBM aufgenommen"
      } ],
      "status" : "final",
      "version" : "2"
    }
  },
  "product_tree" : {
    "branches" : [ {
      "branches" : [ {
        "branches" : [ {
          "category" : "product_name",
          "name" : "IBM Maximo Asset Management 7.6.1.2",
          "product" : {
            "name" : "IBM Maximo Asset Management 7.6.1.2",
            "product_id" : "T025744",
            "product_identification_helper" : {
              "cpe" : "cpe:/a:ibm:maximo_asset_management:7.6.1.2"
            }
          }
        }, {
          "category" : "product_name",
          "name" : "IBM Maximo Asset Management 7.6.1.3",
          "product" : {
            "name" : "IBM Maximo Asset Management 7.6.1.3",
            "product_id" : "T025745",
            "product_identification_helper" : {
              "cpe" : "cpe:/a:ibm:maximo_asset_management:7.6.1.3"
            }
          }
        } ],
        "category" : "product_name",
        "name" : "Maximo Asset Management"
      }, {
        "category" : "product_name",
        "name" : "IBM Security Guardium Data Encryption < 2.6.7",
        "product" : {
          "name" : "IBM Security Guardium Data Encryption < 2.6.7",
          "product_id" : "T026422",
          "product_identification_helper" : {
            "cpe" : "cpe:/a:ibm:security_guardium:data_encryption__2.6.7"
          }
        }
      } ],
      "category" : "vendor",
      "name" : "IBM"
    } ]
  },
  "vulnerabilities" : [ {
    "cve" : "CVE-2022-31129",
    "notes" : [ {
      "category" : "description",
      "text" : "Es existiert eine Schwachstelle in IBM Maximo Asset Management. Der Fehler besteht in Moment.js, verursacht durch ineffiziente Komplexität regulärer Ausdrücke. Ein entfernter, anonymer Angreifer kann diese Schwachstelle ausnutzen, indem er eine speziell gestaltete Anfrage sendet, um einen Denial-of-Service-Zustand auszulösen."
    } ],
    "product_status" : {
      "known_affected" : [ "T025745", "T025744", "T026422" ]
    },
    "release_date" : "2023-01-04T23:00:00.000+00:00",
    "title" : "CVE-2022-31129"
  }, {
    "cve" : "CVE-2022-24785",
    "notes" : [ {
      "category" : "description",
      "text" : "Es existiert eine Schwachstelle in IBM Maximo Asset Management. Der Fehler besteht in Moment.js aufgrund einer unsachgemäßen Validierung von Benutzereingaben, die zu einer Durchquerung von Verzeichnissen auf dem System führt. Ein entfernter, anonymer Angreifer kann diese Schwachstelle ausnutzen, indem er eine speziell erstellte Locale-Zeichenkette mit \"Punkt-Punkt\"-Sequenzen (/../) sendet, um die Sicherheitsmaßnahmen zu umgehen."
    } ],
    "product_status" : {
      "known_affected" : [ "T025745", "T025744", "T026422" ]
    },
    "release_date" : "2023-01-04T23:00:00.000+00:00",
    "title" : "CVE-2022-24785"
  } ]
}