Basque Cyber Security Centre - Centro Vasco de Ciberseguridad

Fecha de publicación: 12/03/2020

Importancia: Crítica

Recursos afectados:

• TIBCO Spotfire Analytics Platform para AWS Marketplace, versiones 10.8.0 y anteriores;
• TIBCO Spotfire Server, versiones 7.11.9 y anteriores;
• TIBCO Spotfire Server, versiones 7.12.0, 7.13.0, 7.14.0, 10.0.0, 10.0.1, 10.1.0, 10.2.0, 10.3.0, 10.3.1, 10.3.2, 10.3.3, 10.3.4, 10.3.5 y 10.3.6;
• TIBCO Spotfire Server, versiones 10.4.0, 10.5.0, 10.6.0, 10.6.1, 10.7.0 y 10.8.0;
• Spotfire library.

Descripción:

Se ha publicado un problema en TIBCO Spotfire Server Script que podría permitir a un atacante la ejecución remota de código.

Solución:

• TIBCO Spotfire Analytics Platform para AWS Marketplace 10.8.1 o superior,
• TIBCO Spotfire Server:
  • 7.11.10 o superior,
  • 10.3.7 o superior,
  • 10.8.1 o superior.

Detalle:

La vulnerabilidad podría permitir a un atacante con permisos de escritura en la biblioteca de Spotfire, pero no con permiso del grupo "Script Author", modificar los atributos de los archivos y objetos guardados en la biblioteca de manera que el sistema los trate como confiables, haciendo que Spotfire Web Player, Analyst clients y TERR Service, ejecuten código arbitrario con los mismos privilegios que la cuenta del sistema que inició esos procesos. Se ha asignado el identificador CVE-2020-9408 para esta vulnerabilidad.

Etiquetas: Actualización, Vulnerabilidad