Cross-site scripting (XSS) en TIBCO EBX
Fecha de publicación 13/11/2019
Importancia
4 - Alta
Recursos Afectados
- El servidor web de las siguientes versiones de TIBCO EBX:
- 5.8.1.fixR y anteriores
- 5.9.3, 5.9.4, 5.9.5 y 5.9.6
- En el interfaz web del Digital Asset Manager de las siguientes versiones de los complementos (Add-ons) de TIBCO EBX:
- 3.20.13 y anteriores
- 4.1.0, 4.2.0, 4.2.1 y 4.2.2
- En el interfaz web del Data Exchange las siguientes versiones de los complementos (Add-ons) de TIBCO EBX:
- 3.20.13 y anteriores
- 4.1.0
Descripción
TIBCO ha publicado 3 vulnerabilidades que afectan a varios de sus productos, que permitirían a un atacante realizar ataques cross-site scripting (XSS).
Solución
TIBCO ha publicado actualizaciones de los sistemas afectados que abordan estos problemas:
- Las versiones 5.8.1.fixR y posteriores se actualizan a la versión 5.8.1.fixS o superior.
- Las versiones 5.9.3, 5.9.4, 5.9.5 y 5.9.6 se actualizan a la versión 5.9.7 o superior.
- Los complementos para el interfaz web del Digital Asset Manager versiones 3.20.13 y posteriores se actualizan a la versión 3.20.14 o superior.
- Los complementos para el interfaz web del Digital Asset Manager versiones 4.1.0, 4.2.0, 4.2.1 y 4.2.2 se actualizan a la versión 4.3.0 o superior.
- Los complementos para el interfaz web del Data Exchange versiones 3.20.13 y posteriores se actualizan a la versión 3.20.14 o superior.
- Los complementos para el interfaz web del Data Exchange versiones 4.1.0 se actualizan a la versión 4.2.0 o superior.
Detalle
- La vulnerabilidad que afecta al servidor web podría permitir a usuarios autenticados realizar ataques XSS entre sitios almacenados, y a usuarios no autenticados realizar ataques de XSS entre sitios reflejados. Se ha asignado el identificador CVE-2019-17330 para esta vulnerabilidad.
- La vulnerabilidad que afecta a los complementos del interfaz web del Digital Asset Manager podría permitir a usuarios autenticados realizar ataques XSS entre sitios almacenados. Se ha asignado el identificador CVE-2019-17332 para esta vulnerabilidad.
- La vulnerabilidad que afecta a los complementos del interfaz web del Data Exchange podría permitir a usuarios autenticados realizar ataques XSS entre sitios almacenados. Se ha asignado el identificador CVE-2019-17331 para esta vulnerabilidad.
Listado de referencias
Etiquetas