Basque Cyber Security Centre - Centro Vasco de Ciberseguridad

Vulnerabilidad en la autenticación en ActiveMatrix BusinessWorks de TIBCO

Fecha de publicación: 10/04/2019

Importancia: Crítica

Recursos afectados:

  • TIBCO ActiveMatrix BusinessWorks, versiones 6.4.2 y anteriores.

Descripción:

El componente HTTP Connector de BusinessWork contiene una vulnerabilidad que permite que un cliente HTTP malintencionado ejecute con éxito las solicitudes HTTP sin autenticarse cuando se utiliza la autenticación básica con XML.

Solución:

  • Actualizar a versiones 6.5.0 o superiores.

Detalle:

  • El componente HTTP Connector contiene una vulnerabilidad que permite que las solicitudes HTTP de usuarios no autenticados sean procesadas por BusinessWorks, incluso cuando se requiere la autenticación. Esto sólo es posible cuando la política de autenticación básica de HTTP se usa junto con XML. BusinessWorks podría utilizar credenciales de una solicitud HTTP anterior con fines de autorización. Se ha asignado el identificador CVE-2019-8990 para esta vulnerabilidad.

Etiquetas: Actualización, Comunicaciones, Vulnerabilidad