Falta de autorización en Jazz Team Server de IBM
Las versiones:
- 7.0.2 a 7.0.2 iFix035;
- 7.0.3 a 7.0.3 iFix018;
- 7.1.0 a 7.1.0 iFix004;
de los siguientes productos:
- IBM Engineering Lifecycle Management - Jazz Foundation;
- IBM Engineering Test Management;
- IBM Engineering Workflow Management;
- IBM Engineering Requirements Management DOORS Next;
- IBM Engineering Lifecycle Optimization - Engineering Insights;
- IBM Engineering Systems Design Rhapsody - Model Manager;
- IBM Jazz Reporting Service;
- Global Configuration Management.
Jazz Team Server de IBM tiene una vulnerabilidad de severidad crítica que, en caso de ser explotada, permitiría a un atacante actualizar los ficheros de configuración del servidor, lo que le permitiría realizar acciones no autorizadas y provocar una denegación de servicio (DoS).
Según la versión inicial del producto, actualizar a la versión:
- Para la versión 7.0.2, actualizar a la versión 7.0.2 iFix035-sec o posterior;
- Para la versión 7.0.3, actualizar a la versión 7.0.3 iFix018-sec o posterior;
- Para la versión 7.1.0, actualizar a la versión 7.1.0 iFix004-sec o posterior.
Adicionalmente a la instalación de la actualización, dentro del programa, en la ruta 'Jazz Team Server (JTS) > Server Administration > Advanced property page' configure 'setup.isRegistrationHandlerServiceOpen' a 'False' y guarde los cambios.
Jazz Team Server de IBM tiene una vulnerabilidad de falta de autorización que puede permitir a un atacante en remoto no autenticado actualizar los ficheros de configuración del servidor, lo que le permitiría realizar acciones no autorizadas e, incluso, provocar una denegación de servicio (DoS).
Se ha asignado el identificador CVE-2025-36157 a esta vulnerabilidad.
