Múltiples vulnerabilidades en Spectrum Protect Plus de IBM

Fecha de publicación 31/03/2020
Importancia
4 - Alta
Recursos Afectados

IBM Spectrum Protect Plus, versiones desde la 10.1.0 a la 10.1.5.

Descripción

Se han publicado vulnerabilidades en IBM Spectrum Protect Plus del tipo evasión de autenticación, eliminación arbitraria de directorios e inyección de comandos, que podrían permitir a un atacante remoto ejecutar código arbitrario en el sistema.

Solución

Actualizar a la versión 10.1.5.2199.

Detalle
  • La existencia de credenciales embebidas, como contraseñas y llaves criptográficas, podría permitir a un atacante ejecutar código arbitrario en el sistema. Se ha reservado el identificador CVE-2020-4208 para esta vulnerabilidad.
  • La validación inadecuada de los datos introducidos por el usuario podría permitir a un atacante remoto la eliminación arbitraria de directorios. Se ha reservado el identificador CVE-2020-4214 para esta vulnerabilidad.
  • La validación inadecuada de los datos introducidos por el usuario podría permitir a un atacante remoto ejecutar comandos arbitrarios en el sistema con permisos de root. Se ha reservado el identificador CVE-2020-4206 para esta vulnerabilidad.
  • El envío de una petición especialmente diseñada podría permitir a un atacante remoto, no autenticado, ejecutar comandos arbitrarios en el sistema. Se han reservado los identificadores CVE-2020-4241y CVE-2020-4242 para estas vulnerabilidades.

Encuesta valoración

Listado de referencias
Security Bulletin: Authentication Bypass, Arbitrary Directory Deletion, and Command Injection vulnerabilities in IBM Spectrum Protect Plus (CVE-2020-4208, CVE-2020-4214, CVE-2020-4206, CVE-2020-4241, CVE-2020-4242)
Etiquetas