Autenticación LDAP no autorizada en IBM webMethods BPM de IBM
IBM webMethods BPM (webMethods Designer Composite Application Development), en sus versiones desde la 11.1 a la 11.1 Fix 1.
IBM ha reportado una vulnerabilidad crítica que, en el caso de ser explotada, un atacante podría eludir los controles de Derby autenticadas por LDAP, lo que podría conllevar una serie de accesos y ataques malintencionados a los datos y funciones confidenciales de la base de datos.
- Actualizar IBM webMethods BPM (webMethods Designer Composite Application Development Fix 2 for verisón 11.1).
- Actualizar a Java 21 y Derby 10.17.1.0.
CVE-2022-46337: falta de verificación de la entrada controlada por el usuario, lo que conduce a problemas de inyección de código que, en caso de ser explotado permitiría llenar el disco creando bases de datos basura, ejecutar malware visible y ejecutable por la cuenta que inició el servidor Derby, ver y corromper datos confidenciales y ejecutar funciones confidenciales de la base de datos.
