XML External Entity en IBM i2 Intelligence Analysis Platform

Fecha de publicación 10/05/2019

Importancia

4 - Alta

Recursos Afectados

IBM i2 Analyst's Notebook 9.0.0, 9.0.1, 9.0.2, 9.0.3, 9.0.4, 9.0.5, 9.0.6, 9.0.7, 9.1.0 y 9.1.1
IBM i2 Analyst's Notebook Premium 9.0.0, 9.0.1, 9.0.2, 9.0.3, 9.0.4, 9.0.5, 9.0.6, 9.0.7, 9.0.8, 9.1.0 y 9.1.1
IBM i2 Enterprise Insight Analysis

Descripción

IBM i2 Intelligent Analyis Platform ha solucionado una vulnerabilidad de XXE (XML External Entity) que podría permitir a los atacantes obtener acceso a información confidencial o hacer que el sistema del usuario realice llamadas a servidores remotos.

Solución

IBM i2 Analyst's Notebook Version 9.0.6
IBM i2 Analyst's Notebook Version 9.1.1
IBM i2 Analyst's Notebook Premium Version 9.06
IBM i2 Analyst's Notebook Premium Version 9.1.1

No existe parche para el resto de versiones afectadas, se recomienda actualizar a las versiones anteriores.

Detalle

IBM i2 Intelligent Analyis Platform es vulnerable a un ataque de inyección de entidad externa XML (XXE) al procesar datos XML. Un atacante remoto podría explotar esta vulnerabilidad para exponer información sensible o consumir recursos de memoria. Se ha reservado el identificador CVE-2019-4062 para esta vulnerabilidad.

Listado de referencias

Security Bulletin: IBM i2 Intelligent Analyis Platform is affected by a XML External Entity (XXE) vulnerability

Etiquetas