{
  "document" : {
    "aggregate_severity" : {
      "text" : "mittel"
    },
    "category" : "csaf_base",
    "csaf_version" : "2.0",
    "distribution" : {
      "tlp" : {
        "label" : "WHITE",
        "url" : "https://www.first.org/tlp/"
      }
    },
    "lang" : "de-DE",
    "notes" : [ {
      "category" : "legal_disclaimer",
      "text" : "Das BSI ist als Anbieter für die eigenen, zur Nutzung bereitgestellten Inhalte nach den allgemeinen Gesetzen verantwortlich. Nutzerinnen und Nutzer sind jedoch dafür verantwortlich, die Verwendung und/oder die Umsetzung der mit den Inhalten bereitgestellten Informationen sorgfältig im Einzelfall zu prüfen."
    }, {
      "category" : "description",
      "text" : "IBM Security Verify Access, ehemals IBM Security Access Manager (ISAM), ist eine Zugriffsverwaltungslösung.",
      "title" : "Produktbeschreibung"
    }, {
      "category" : "summary",
      "text" : "Ein anonymer oder lokaler Angreifer kann mehrere Schwachstellen in IBM Security Verify Access ausnutzen, um Informationen preiszugeben, erhöhte Rechte zu erlangen, Sicherheitsmaßnahmen zu umgehen und einen Cross-Site-Scripting-Angriff durchzuführen.",
      "title" : "Angriff"
    }, {
      "category" : "general",
      "text" : "- Sonstiges\n- UNIX\n- Windows",
      "title" : "Betroffene Betriebssysteme"
    } ],
    "publisher" : {
      "category" : "other",
      "contact_details" : "csaf-provider@cert-bund.de",
      "name" : "Bundesamt für Sicherheit in der Informationstechnik",
      "namespace" : "https://www.bsi.bund.de"
    },
    "references" : [ {
      "category" : "self",
      "summary" : "WID-SEC-W-2025-0254 - CSAF Version",
      "url" : "https://wid.cert-bund.de/.well-known/csaf/white/2025/wid-sec-w-2025-0254.json"
    }, {
      "category" : "self",
      "summary" : "WID-SEC-2025-0254 - Portal Version",
      "url" : "https://wid.cert-bund.de/portal/wid/securityadvisory?name=WID-SEC-2025-0254"
    }, {
      "category" : "external",
      "summary" : "IBM Security Bulletin vom 2025-02-03",
      "url" : "https://www.ibm.com/support/pages/node/7182386"
    } ],
    "source_lang" : "en-US",
    "title" : "IBM Security Verify Access: Mehrere Schwachstellen",
    "tracking" : {
      "current_release_date" : "2025-02-03T23:00:00.000+00:00",
      "generator" : {
        "date" : "2025-02-04T11:15:01.599+00:00",
        "engine" : {
          "name" : "BSI-WID",
          "version" : "1.3.10"
        }
      },
      "id" : "WID-SEC-W-2025-0254",
      "initial_release_date" : "2025-02-03T23:00:00.000+00:00",
      "revision_history" : [ {
        "date" : "2025-02-03T23:00:00.000+00:00",
        "number" : "1",
        "summary" : "Initiale Fassung"
      } ],
      "status" : "final",
      "version" : "1"
    }
  },
  "product_tree" : {
    "branches" : [ {
      "branches" : [ {
        "branches" : [ {
          "category" : "product_version_range",
          "name" : "<10.0.9",
          "product" : {
            "name" : "IBM Security Verify Access <10.0.9",
            "product_id" : "T040755"
          }
        }, {
          "category" : "product_version",
          "name" : "10.0.9",
          "product" : {
            "name" : "IBM Security Verify Access 10.0.9",
            "product_id" : "T040755-fixed",
            "product_identification_helper" : {
              "cpe" : "cpe:/a:ibm:security_verify_access:10.0.9"
            }
          }
        }, {
          "category" : "product_version_range",
          "name" : "<11.0",
          "product" : {
            "name" : "IBM Security Verify Access <11.0",
            "product_id" : "T040756"
          }
        }, {
          "category" : "product_version",
          "name" : "11",
          "product" : {
            "name" : "IBM Security Verify Access 11.0",
            "product_id" : "T040756-fixed",
            "product_identification_helper" : {
              "cpe" : "cpe:/a:ibm:security_verify_access:11.0"
            }
          }
        } ],
        "category" : "product_name",
        "name" : "Security Verify Access"
      } ],
      "category" : "vendor",
      "name" : "IBM"
    } ]
  },
  "vulnerabilities" : [ {
    "cve" : "CVE-2024-45658",
    "notes" : [ {
      "category" : "description",
      "text" : "Es bestehen mehrere Schwachstellen in IBM Security Verify Access. Aufgrund einer unsachgemäßen Behandlung von Fehlermeldungen werden detaillierte technische Fehlermeldungen ausgegeben. Ein entfernter, anonymer Angreifer kann diese Schwachstellen ausnutzen, um vertrauliche Informationen offenzulegen und für weitere Angriffe zu verwenden."
    } ],
    "product_status" : {
      "known_affected" : [ "T040756", "T040755" ]
    },
    "release_date" : "2025-02-03T23:00:00.000+00:00",
    "title" : "CVE-2024-45658"
  }, {
    "cve" : "CVE-2024-45659",
    "notes" : [ {
      "category" : "description",
      "text" : "Es bestehen mehrere Schwachstellen in IBM Security Verify Access. Aufgrund einer unsachgemäßen Behandlung von Fehlermeldungen werden detaillierte technische Fehlermeldungen ausgegeben. Ein entfernter, anonymer Angreifer kann diese Schwachstellen ausnutzen, um vertrauliche Informationen offenzulegen und für weitere Angriffe zu verwenden."
    } ],
    "product_status" : {
      "known_affected" : [ "T040756", "T040755" ]
    },
    "release_date" : "2025-02-03T23:00:00.000+00:00",
    "title" : "CVE-2024-45659"
  }, {
    "cve" : "CVE-2024-40700",
    "notes" : [ {
      "category" : "description",
      "text" : "In IBM Security Verify Access existiert eine Cross-Site Scripting Schwachstelle. HTML und Script-Eingaben werden in der Web-UI nicht ordnungsgemäß überprüft, bevor sie an den Benutzer zurückgegeben werden. Ein entfernter, anonymer Angreifer kann durch Ausnutzung dieser Schwachstelle beliebigen HTML- und Script-Code durch den Browser des Benutzers im Kontext der betroffenen Seite ausführen und eventuell Anmeldedaten preiszugeben. Zur erfolgreichen Ausnutzung ist eine Benutzeraktion erforderlich."
    } ],
    "product_status" : {
      "known_affected" : [ "T040756", "T040755" ]
    },
    "release_date" : "2025-02-03T23:00:00.000+00:00",
    "title" : "CVE-2024-40700"
  }, {
    "cve" : "CVE-2024-43187",
    "notes" : [ {
      "category" : "description",
      "text" : "Es besteht eine Schwachstelle in IBM Security Verify Access. Die fehlende Verschlüsselung der Kommunikationskanäle führt dazu, dass sensible oder sicherheitskritische Daten im Klartext übertragen werden. Ein entfernter, anonymer Angreifer kann diese Schwachstelle ausnutzen, um vertrauliche Informationen offenzulegen."
    } ],
    "product_status" : {
      "known_affected" : [ "T040756", "T040755" ]
    },
    "release_date" : "2025-02-03T23:00:00.000+00:00",
    "title" : "CVE-2024-43187"
  }, {
    "cve" : "CVE-2024-45657",
    "notes" : [ {
      "category" : "description",
      "text" : "Es besteht eine Schwachstelle in IBM Security Verify Access aufgrund einer unsachgemäßen Zuweisung von Berechtigungen. Ein lokaler Angreifer mit bestimmten Privilegien kann diese Schwachstelle ausnutzen, um höhere Privilegien zu erlangen."
    } ],
    "product_status" : {
      "known_affected" : [ "T040756", "T040755" ]
    },
    "release_date" : "2025-02-03T23:00:00.000+00:00",
    "title" : "CVE-2024-45657"
  }, {
    "cve" : "CVE-2024-35138",
    "notes" : [ {
      "category" : "description",
      "text" : "Es besteht eine Schwachstelle in IBM Security Verify Access. Fehlende CSRF-Schutzmechanismen ermöglichen einen Cross-Site-Request-Fgery-Angriff. Ein entfernter, anonymer Angreifer kann diese Schwachstelle ausnutzen, um Sicherheitsmaßnahmen zu umgehen und nicht autorisierte Aktionen im Namen eines vertrauenswürdigen Benutzers durchzuführen. Eine erfolgreiche Ausnutzung erfordert eine Benutzerinteraktion."
    } ],
    "product_status" : {
      "known_affected" : [ "T040756", "T040755" ]
    },
    "release_date" : "2025-02-03T23:00:00.000+00:00",
    "title" : "CVE-2024-35138"
  } ]
}