Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Múltiples vulnerabilidades en TIBCO Spotfire

Fecha de publicación 15/05/2019
Importancia
5 - Crítica
Recursos Afectados

Está afectada la interfaz web de los siguientes productos:

  • TIBCO Spotfire Statistics Services, versiones 7.11.1 y anteriores.
  • TIBCO Spotfire Statistics Services, versión 10.0.0

Está afectado el servidor web de los siguientes productos:

  • TIBCO Spotfire Analytics Platform para AWS Marketplace, versiones 7.14.0, 7.14.1, 10.0.0, 10.0.1, 10.1.0 y 10.2.0
  • TIBCO Spotfire Server, versiones 7.14.0, 10.0.0, 10.0.1, 10.1.0 y 10.2.0
Descripción

TIBCO ha reportado dos vulnerabilidades en sus productos TIBCO Spotfire, una de ellas afecta a la interfaz web y expone ficheros sensibles, y la otra es del tipo Cross-Site Scripting (XSS) reflejado y afecta al servidor web.

Solución

TIBCO ha lanzado versiones actualizadas de los componentes afectados que abordan estos problemas:

  • Las versiones 7.11.1 y posteriores de TIBCO Spotfire Services Services se actualizan a la versión 7.11.2 o superior.
  • La versión 10.0.0 de TIBCO Spotfire Statistics Services se actualiza a 10.0.1 o superior.
  • La plataforma TIBCO Spotfire Analytics para AWS Marketplace, versiones 7.14.0, 7.14.1, 10.0.0, 10.0.1, 10.1.0 y 10.2.0, se actualiza a 10.3.0 o superior.
  • Las versiones 7.1.4.0, 10.0.0, 10.0.1, 10.1.0 y 10.2.0 del servidor TIBCO Spotfire se actualizan a 10.2.1 o superior.
Detalle
  • La vulnerabilidad que expone archivos confidenciales afecta a la interfaz web y podría permitir que un usuario autenticado acceda a información confidencial del servidor de servicios de estadísticas de Spotfire. La información confidencial que podría verse afectada incluye bases de datos, JMX, LDAP, cuentas de servicio de Windows y credenciales de usuario. Se ha asignado el identificador CVE-2019-11204 a esta vulnerabilidad.
  • La vulnerabilidad del tipo Cross-Site Scripting (XSS) reflejado afecta al servidor web y podría permitir que un atacante no autenticado ganara acceso administrativo a la interfaz web del servidor web. Se ha asignado el identificador CVE-2019-11205 a esta vulnerabilidad.

Encuesta valoraciĂ³n

Listado de referencias
TIBCO Security Advisory: May 14, 2019 - TIBCO Spotfire Statistics Services - 2019-11204
TIBCO Security Advisory: May 14, 2019 - TIBCO Spotfire Server - 2019-11205
Etiquetas