Basque Cyber Security Centre - Zibersegurtasun Euskal Zentroa

Argitalpen data: 2019/04/10

Garrantzia: Kritikoa

Kaltetutako baliabideak:

• TIBCO ActiveMatrix BusinessWorks, 6.4.2 eta lehenagoko bertsioak.

Azalpena:

BusinessWork-en HTTP Connector osagaiak ahultasun bat dauka. Hori baliatuz asmo gaiztoko HTTP bezero batek arrakastaz exekuta litzake HTTP eskariak autentifikatu gabe, XMLrekin autentifikazio oinarrizkoa erabiltzen denean.

Konponbidea:

• 6.5.0 edo goragoko bertsioetara eguneratzea.

Xehetasuna:

• HTTP Connector osagaiak duen ahultasun batek ahalbidetu egiten du BusinessWorks-ek autentifikaziorik gabeko HTTP erabiltzaileen eskariak prozesatzea, baita autentifikazioa behar denean ere. Hau soilik gerta daiteke HTTPren oinarrizko autentifikazio politika XMLrekin batera erabiltzen denean. BusinessWorks-ek lehenagoko HTTP eskari baten kredentzialak erabil litzake baimena lortzeko. Ahultasun horretarako CVE-2019-8990 identifikatzailea erabili da.

Etiketak: Eguneraketa, Komunikazioak, Ahultasuna