Basque Cyber Security Centre - Zibersegurtasun Euskal Zentroa

Hainbat ahultasun IBMren API Connect-en

Argitalpen data: 2019/04/12

Garrantzia: Kritikoa

Kaltetutako baliabideak:

  • IBM API Connect, 5.0.0.0tik 5.0.8.6ra bitarteko bertsioak

Azalpena:

API Connect-ek dituen bi ahultasunen berri eman da, bat komandoen injekzio erakoa eta bestea fitxategi lokalen inklusio erakoa (LFI, Local File Inclusion).

Konponbidea:

Xehetasuna:

  • IBM API Connect Developer Portal ahula da komandoen injekzioaren aurrean. Bereziki diseinatutako eskaera bat egiten duen erasotzaile batek kode arbitrarioa exekuta lezake zerbitzarian eta sistemara sarbide osoa lortu. Ahultasun horretarako CVE-2019-4202 identifikatzailea erreserbatu da.
  • Aplikazioen garatzaileek IBM API Connect Developer Portal balia dezakete host-aren sistema eragiletik fitxategi arbitrarioak deskargatzeko eta SSRF (Server Side Request Forgery) erasoak egiteko. Ahultasun horretarako CVE-2019-4203 identifikatzailea erreserbatu da.

Etiketak: Eguneraketa, IBM, Ahultasuna