Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Múltiples vulnerabilidades en IBM Tivoli Netcool Configuration Manager

Fecha de publicación 16/07/2026
Identificador
INCIBE-2026-496
Importancia
5 - Crítica
Recursos Afectados

IBM Tivoli Netcool Configuration Manager: versiones desde la 6.4.2 GA hasta la 6.4.2.24.

Descripción

IBM ha publicado 7 vulnerabilidades, de las cuales 1 es de severidad crítica,5 de severidad alta, y 1 de severidad media. La explotación de estas vulnerabilidades podría permitir a un atacante ejecutar código arbitrario de forma remota y eludir mecanismos de autenticación entre otros impactos, comprometiendo la confidencialidad, integridad y disponibilidad de los sistemas afectados.

Solución

El fabricante recomienda actualizar a la versión 6.4.2 que corrige las vulnerabilidades.

Detalle
  • CVE-2026-11536: ejecución remota de código en el conector SOAP/JMX derivada de una deserialización de datos no confiables. Un atacante con los privilegios necesarios podría explotar esta vulnerabilidad para ejecutar código arbitrario en el sistema afectado.
  • CVE-2026-10845: mecanismo de autenticación incorrecto que podría permitir a un atacante remoto eludir la autenticación y obtener acceso no autorizado a aplicaciones JAX-WS desplegadas en IBM WebSphere Application Server.
  • CVE-2026-11594 y CVE-2026-11383: Cross-Site Scripting (XSS) en la consola administrativa de IBM WebSphere Application Server que podrían permitir la ejecución de código malicioso en el navegador de un usuario autenticado mediante contenido especialmente manipulado.
  • CVE-2026-11541 y CVE-2026-9006: HTTP Request Smuggling y Server-Side Request Forgery (SSRF) que podrían permitir a un atacante manipular el procesamiento de solicitudes HTTP o enviar peticiones no autorizadas desde el servidor, facilitando la evasión de controles de seguridad y la divulgación de información.
CVE
Identificador CVE Severidad Explotación Fabricante
CVE-2026-11707 Crítica No IBM
CVE-2026-11536 Alta No IBM
CVE-2026-11594 Alta No IBM
CVE-2026-10845 Alta No IBM
CVE-2026-11541 Alta No IBM
CVE-2026-9006 Alta No IBM
CVE-2026-11383 Media No IBM