Múltiples vulnerabilidades en productos TIBCO

Fecha de publicación 18/12/2019
Importancia
4 - Alta
Recursos Afectados
  • TIBCO Spotfire Analyst, versiones:
    • 7.11.1 y anteriores;
    • 7.12.0, 7.13.0, 7.14.0, 10.0.0, 10.1.0, 10.2.0, 10.3.0, 10.3.1, 10.3.2, 10.4.0, 10.5.0 y 10.6.0.
  • TIBCO Spotfire Analytics Platform para AWS Marketplace, versión 10.6.0;
  • TIBCO Spotfire Deployment Kit, versiones 7.11.1 y anteriores;
  • TIBCO Spotfire Desktop, versiones:
    • 7.11.1 y anteriores;
    • 7.12.0, 7.13.0, 7.14.0, 10.0.0, 10.1.0, 10.2.0, 10.3.0, 10.3.1, 10.3.2, 10.4.0, 10.5.0 y 10.6.0.
  • TIBCO Spotfire Desktop Language Packs, versión 7.11.1 y anteriores;
  • TIBCO Spotfire Server, versiones:
    • 7.11.7 y anteriores;
    • 7.12.0, 7.13.0, 7.14.0, 10.0.0, 10.0.1, 10.1.0, 10.2.0, 10.2.1, 10.3.0, 10.3.1, 10.3.2, 10.3.3, 10.3.4, 10.4.0, 10.5.0 y 10.6.0.
  • Componentes:
    • visualizaciones;
    • capa de acceso a los datos;
    • librería de Spotfire.
Descripción

TIBCO ha detectado tres vulnerabilidades de severidad alta. Un atacante remoto, no autenticado, podría ejecutar código, exponer credenciales para fuentes de datos compartidas o realizar XSS reflejado.

Solución
  • TIBCO Spotfire Analyst y TIBCO Spotfire Desktop:
    • para versión 7.11.1 y anteriores, actualizar a 7.11.2 o superiores;
    • para versiones 7.12.0, 7.13.0, 7.14.0, 10.0.0, 10.1.0, 10.2.0, 10.3.0, 10.3.1 y 10.3.2, actualizar a 10.3.3 o superiores;
    • para versiones 10.4.0, 10.5.0 y 10.6.0, actualizar a 10.6.1 o superiores.
  • TIBCO Spotfire Analytics Platform para AWS Marketplace: actualizar a 10.6.1 o superiores;
  • TIBCO Spotfire Deployment Kit: actualizar a 7.11.2 o superiores;
  • TIBCO Spotfire Desktop Language Packs, actualizar a 7.11.2 o superiores;
  • TIBCO Spotfire Server:
    • para versión 7.11.7 y anteriores, actualizar a 7.11.8 o superiores;
    • para versiones 7.12.0, 7.13.0, 7.14.0, 10.0.0, 10.0.1, 10.1.0, 10.2.0, 10.2.1, 10.3.0, 10.3.1, 10.3.2, 10.3.3 y 10.3.4, actualizar a 10.3.5 o superiores;
    • para versiones 10.4.0, 10.5.0 y 10.6.0, actualizar a 10.6.1 o superiores.
Detalle
  • Se ha identificado una vulnerabilidad que podría permitir a un atacante, con privilegios, modificar archivos DXP en la librería Spotfire para ejecutar código de manera remota en la cuenta de otros usuarios con acceso al sistema. Se ha asignado el identificador CVE-2019-17334 para esta vulnerabilidad.
  • Un atacante podría acceder a información que permitiría la obtención de las credenciales utilizadas para acceder a las fuentes de datos de Spotfire. Únicamente cuando las credenciales NTLM o de un perfil están en uso se puede explotar esta vulnerabilidad. Se ha asignado el identificador CVE-2019-17336 para esta vulnerabilidad.
  • Una vulnerabilidad de tipo XSS reflejado podría permitir a un atacante obtener acceso administrativo total a la interfaz web de los productos afectados. Se ha asignado el identificador CVE-2019-17337 para esta vulnerabilidad.

Encuesta valoración

Listado de referencias
TIBCO Security Advisory: December 17, 2019 - TIBCO Spotfire - 2019-17334
TIBCO Security Advisory: December 17, 2019 - TIBCO Spotfire - 2019-17336
TIBCO Security Advisory: December 17, 2019 - TIBCO Spotfire - 2019-17337
Etiquetas