Basque Cyber Security Centre - Centro Vasco de Ciberseguridad

Múltiples vulnerabilidades en productos de IBM

Fecha de publicación: 20/12/2018

Importancia: Alta

Recursos afectados:

  • IBM Domino, versiones desde 9.0.1 hasta 9.0.1 FP10 IF4 y desde 9.0 hasta 9.0 IF4
  • IBM Notes, versiones desde 9.0.1 hasta 9.0.1 FP10 IF5 y desde 9.0 hasta 9.0 IF4
  • IBM API Connect, versiones desde 2018.1 hasta 2018.4.1 y desde 5.0.0.0 hasta 5.0.8.4

Descripción:

IBM ha reportado varias vulnerabilidades en sus productos Domino, Notes y API Connect que podrían permitir escalada de privilegios, omisión de autenticación, inyección NoSQL y escalar permisos propios.

Solución:

Detalle:

  • IBM Notes y Domino (sólo en Windows) contienen una vulnerabilidad de escalada de privilegios. Al crear una línea de comandos enviada a través del IPC de memoria compartida, se puede engañar al servicio Notes System Diagnostic (NSD) para que ejecute un archivo dll malicioso elegido por el atacante. Se ha reservado el identificador CVE-2018-1771 para esta vulnerabilidad.
  • IBM LoopBack podría permitir a un atacante eludir la autenticación si el modelo AccessToken se expone a través de una API REST, ya que es posible crear un AccessToken para cualquier usuario, siempre que conozca el ID de usuario y, por lo tanto, obtener acceso a los datos de los demás usuarios o a sus privilegios. Se ha reservado el identificador CVE-2018-1778 para esta vulnerabilidad.
  • IBM API Connect se ve afectado por una inyección de NoSQL en el conector MongoDB para el framework LoopBack. Se ha reservado el identificador CVE-2018-1784 para esta vulnerabilidad.
  • API Connect V5 permite a un usuario con acceso limitado al nivel de API Administrator darse acceso completo al nivel de Administrator a través de la funcionalidad de miembros. Se ha reservado el identificador CVE-2018-1973 para esta vulnerabilidad.

Etiquetas: Actualización, IBM, Vulnerabilidad