Vulnerabilidad en Tivoli Endpoint Manager Mobile Device Management (CVE-2014-6140)
Gravedad CVSS v2.0:
ALTA
Tipo:
CWE-310
Errores criptográficos
Fecha de publicación:
06/12/2014
Última modificación:
12/04/2025
Descripción
Tivoli Endpoint Manager Mobile Device Management (MDM) de IBM anterior a versión 9.0.60100, utiliza el mismo token HMAC secreto en las instalaciones de diferentes clientes, lo que permite a los atacantes remotos ejecutar código arbitrario por medio de Objetos Serializados de Ruby diseñados en cookies para (1) Enrollment and Apple iOS Management Extender, (2) Portal de autoservicio, (3) proveedor de Servicios de Confianza o (4) Portal de administración.
Impacto
Puntuación base 2.0
9.30
Gravedad 2.0
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:ibm:tivoli_endpoint_manager_mobile_device_management:*:*:*:*:*:*:*:* | 9.0 (incluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://packetstormsecurity.com/files/129349/IBM-Endpoint-Manager-For-Mobile-Devices-Code-Execution.html
- http://seclists.org/fulldisclosure/2014/Dec/3
- http://www-01.ibm.com/support/docview.wss?uid=swg21691701
- http://www.securityfocus.com/archive/1/534131/100/0/threaded
- http://www.securityfocus.com/bid/71424
- http://www.securitytracker.com/id/1031306
- https://www.redteam-pentesting.de/en/advisories/rt-sa-2014-012/-unauthenticated-remote-code-execution-in-ibm-endpoint-manager-mobile-device-management-components
- http://packetstormsecurity.com/files/129349/IBM-Endpoint-Manager-For-Mobile-Devices-Code-Execution.html
- http://seclists.org/fulldisclosure/2014/Dec/3
- http://www-01.ibm.com/support/docview.wss?uid=swg21691701
- http://www.securityfocus.com/archive/1/534131/100/0/threaded
- http://www.securityfocus.com/bid/71424
- http://www.securitytracker.com/id/1031306
- https://www.redteam-pentesting.de/en/advisories/rt-sa-2014-012/-unauthenticated-remote-code-execution-in-ibm-endpoint-manager-mobile-device-management-components