Basque Cyber Security Centre - Centro Vasco de Ciberseguridad

Múltiples vulnerabilidades en productos de TIBCO

Fecha de publicación: 25/04/2019

Importancia: Crítica

Recursos afectados:

  • TIBCO ActiveMatrix BPM, versiones 4.2.0 y anteriores.
  • TIBCO ActiveMatrix BPM Distribution para TIBCO Silver Fabric, versiones 4.2.0 y anteriores.
  • TIBCO ActiveMatrix Policy Director, versiones 1.1.0 y anteriores.
  • TIBCO ActiveMatrix Service Bus, versiones 3.3.0 y anteriores.
  • TIBCO ActiveMatrix Service Grid, versiones 3.3.1 y anteriores.
  • TIBCO ActiveMatrix Service Grid Distribution para TIBCO Silver Fabric, versiones 3.3.0 y anteriores.
  • TIBCO Silver Fabric Enabler para ActiveMatrix BPM, versiones 1.4.1 y anteriores.
  • TIBCO Silver Fabric Enabler para ActiveMatrix Service Grid, versiones 1.3.1 y anteriores.
  • Componentes de interfaz web del administrador, servidor de administración, servidor web administrativo, área de trabajo del cliente, espacio abierto del cliente, cliente de desarrollo de aplicaciones y REST API.

Descripción:

TIBCO ha publicado 6 vulnerabilidades que afectan a varios de sus productos, en las que un atacante podría realizar ataques XSS, CSRF, ejecución remota de código, descarga de información confidencial sin autenticación, escalada de privilegios o redirección abierta.

Solución:

  • TIBCO ActiveMatrix BPM, actualizar a la versión 4.3.0 o superior.
  • TIBCO ActiveMatrix BPM Distribution para TIBCO Silver Fabric, actualizar a la versión 4.3.0 o superior.
  • TIBCO ActiveMatrix Policy Director, actualizar a la versión 2.0.0 o superior. Debido a la retirada programada de este producto a principios de 2021, se recomienda encarecidamente a los clientes que se pongan en contacto con el servicio de asistencia técnica de TIBCO para explorar vías alternativas de reparación.
  • TIBCO ActiveMatrix Service Bus, actualizar a la versión 3.4.0 o superior.
  • TIBCO ActiveMatrix Service Grid, actualizar a la versión 3.4.0 o superior.
  • TIBCO ActiveMatrix Service Grid Distribution para TIBCO Silver Fabric, actualizar a la versión 3.4.0 o superior.
  • TIBCO Silver Fabric Enabler para ActiveMatrix BPM, actualizar a la versión 1.4.2 o superior.
  • TIBCO Silver Fabric Enabler para ActiveMatrix Service Grid, actualizar a la versión 1.3.2 o superior.

Detalle:

  • Un atacante remoto sin privilegios podría obtener acceso completo a todas las capacidades de la interfaz web de TIBCO ActiveMatrix Administrator a través de XSS o CSRF. Se ha asignado el identificador CVE-2019-8991 para esta vulnerabilidad.
  • Un usuario sin privilegios puede cargar código, lo que le permitiría ejecutar código arbitrario en los nodos de ActiveMatrix Service Grid. Se ha asignado el identificador CVE-2019-8992 para esta vulnerabilidad.
  • Un usuario no autenticado podría descargar un archivo con información de credenciales. Se ha asignado el identificador CVE-2019-8993 para esta vulnerabilidad.
  • Un usuario autenticado podría engañar a otros usuarios del sistema para que visiten sitios web maliciosos. Se ha asignado el identificador CVE-2019-8994 para esta vulnerabilidad.
  • Un atacante podría utilizar una URL maliciosa para engañar a un usuario y que visite un sitio web específico. Se ha asignado el identificador CVE-2019-8995 para esta vulnerabilidad.
  • Un atacante remoto sin privilegios podría obtener acceso completo a las API expuestas por los componentes de ActiveMatrix BPM afectados. Se ha asignado el identificador CVE-2019-11203 para esta vulnerabilidad.

Etiquetas: Actualización, Comunicaciones, Vulnerabilidad