Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Cross-site scripting (XSS) en TIBCO EBX

Fecha de publicación 13/11/2019
Importancia
4 - Alta
Recursos Afectados
  • El servidor web de las siguientes versiones de TIBCO EBX:
    • 5.8.1.fixR y anteriores
    • 5.9.3, 5.9.4, 5.9.5 y 5.9.6
  • En el interfaz web del Digital Asset Manager de las siguientes versiones de los complementos (Add-ons) de TIBCO EBX:
    • 3.20.13 y anteriores
    • 4.1.0, 4.2.0, 4.2.1 y 4.2.2
  • En el interfaz web del Data Exchange las siguientes versiones de los complementos (Add-ons) de TIBCO EBX:
    • 3.20.13 y anteriores
    • 4.1.0
Descripción

TIBCO ha publicado 3 vulnerabilidades que afectan a varios de sus productos, que permitirían a un atacante realizar ataques cross-site scripting (XSS).

Solución

TIBCO ha publicado actualizaciones de los sistemas afectados que abordan estos problemas:

  • Las versiones 5.8.1.fixR y posteriores se actualizan a la versión 5.8.1.fixS o superior.
  • Las versiones 5.9.3, 5.9.4, 5.9.5 y 5.9.6 se actualizan a la versión 5.9.7 o superior.
  • Los complementos para el interfaz web del Digital Asset Manager versiones 3.20.13 y posteriores se actualizan a la versión 3.20.14 o superior.
  • Los complementos para el interfaz web del Digital Asset Manager versiones 4.1.0, 4.2.0, 4.2.1 y 4.2.2 se actualizan a la versión 4.3.0 o superior.
  • Los complementos para el interfaz web del Data Exchange versiones 3.20.13 y posteriores se actualizan a la versión 3.20.14 o superior.
  • Los complementos para el interfaz web del Data Exchange versiones 4.1.0 se actualizan a la versión 4.2.0 o superior.
Detalle
  • La vulnerabilidad que afecta al servidor web podría permitir a usuarios autenticados realizar ataques XSS entre sitios almacenados, y a usuarios no autenticados realizar ataques de XSS entre sitios reflejados. Se ha asignado el identificador CVE-2019-17330 para esta vulnerabilidad.
  • La vulnerabilidad que afecta a los complementos del interfaz web del Digital Asset Manager podría permitir a usuarios autenticados realizar ataques XSS entre sitios almacenados. Se ha asignado el identificador CVE-2019-17332 para esta vulnerabilidad.
  • La vulnerabilidad que afecta a los complementos del interfaz web del Data Exchange podría permitir a usuarios autenticados realizar ataques XSS entre sitios almacenados. Se ha asignado el identificador CVE-2019-17331 para esta vulnerabilidad.

Encuesta valoraciĂ³n