Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Múltiples vulnerabilidades en las imágenes de contenedor MQ Operator y Queue Manager de IBM

Fecha de publicación 25/03/2026
Identificador
INCIBE-2026-227
Importancia
5 - Crítica
Recursos Afectados

Operador de IBM MQ:

  • SC2: versiones comprendidas entre v3.2.0 y v3.2.22;
  • CD: versiones v3.3.0, v3.4.0, v3.4.1, v3.5.0, v3.8.0, v3.8.1, v3.9.0, y las versiones comprendidas entre v3.5.1 y v3.5.3, v3.6.0 y v3.6.4 y v3.7.0 y v3.7.2;
  • LTS: versiones comprendidas entre v2.0.0 y 2.0.29.

IBM proporcionó imágenes de contenedores MQ Advanced:

  • SC2: versiones 9.4.0.6-r1, 9.4.0.6-r2, 9.4.0.7-r1, 9.4.0.10-r1, 9.4.0.10-r2, 9.4.0.11-r1, 9.4.0.11-r2, 9.4.0.11-r3, 9.4.0.12-r1, 9.4.0.15-r1 - 9.4.0.15-r4, 9.4.0.16-r1 y 9.4.0.16-r2, 9.4.0.17-r1, 9.4.0.17-r2;
  • CD: 9.4.1.0-r1, 9.4.1.0-r2, 9.4.1.1-r1, 9.4.2.0-r1, 9.4.2.0-r2, 9.4.2.1-r1, 9.4.2.1-r2, 9.4.3.0-r1, 9.4.3.0-r2, 9.4.3.1-r1 - 9.4.3.1-r3, 9.4.4.0-r1 - 9.4.4.0-r4, 9.4.4.1-r1 y 9.4.5.0-r1;
  • LTS: 9.3.0.0-r1, 9.3.0.0-r2, 9.3.0.0-r3, 9.3.0.1-r1, 9.3.0.1-r2, 9.3.0.1-r3, 9.3.0.1-r4, 9.3.0.3-r1, 9.3.0.4-r1, 9.3.0.4-r2, 9.3.0.5-r1, 9.3.0.5-r2, 9.3.0.5-r3, 9.3.0.6-r1, 9.3.0.10-r1, 9.3.0.10-r2, 9.3.0.11-r1, 9.3.0.11-r2, 9.3.0.15-r1, 9.3.0.16-r1, 9.3.0.16-r2, 9.3.0.17-r1, 9.3.0.17-r2, 9.3.0.17-r3, 9.3.0.20-r1, 9.3.0.20-r2, 9.3.0.21-r1, 9.3.0.21-r2, 9.3.0.21-r3, 9.3.0.25-r1, 9.4.0.0-r1, 9.4.0.0-r2, 9.4.0.0-r3, 9.4.0.5-r1 y 9.4.0.5-r2.
Descripción

IBM ha reportado 35 vulnerabilidades; 1 crítica, 15 altas y 19 medias que, en caso de ser explotadas, podrían permitir a atacantes comprometer la seguridad de los contenedores.

Solución

Se recomienda aplicar las imágenes de contenedor más recientes. Para ello, consulte el enlace de las referencias.

Detalle

CVE-2025-68121: vulnerabilidad crítica que se da durante la reanudación de una sesión en 'crypto/tls', si se modifican los campos ClientCAs o RootCAs de la configuración subyacente entre el handshake inicial y el reanudado, el handshake reanudado podría tener éxito cuando debería haber fallado. Esto ocurre cuando se modifica la configuración mediante 'Config.Clone' o 'Config.GetConfigForClient'. Como resultado, un cliente o servidor podría reanudar una sesión con una parte con la que no se habría reanudado en la conexión inicial.

CVE
Identificador CVE Severidad Explotación Fabricante
CVE-2025-68121 Crítica No IBM
Listado de referencias
Security Bulletin: Multiple vulnerabilities in IBM MQ Operator and Queue manager container images
Etiquetas