Vulnerabilidad en IBM API Connect (CVE-2017-1161)

Gravedad CVSS v3.1:

ALTA

Tipo:

CWE-20 Validación incorrecta de entrada

Fecha de publicación:

17/04/2017

Última modificación:

20/04/2025

Descripción

IBM API Connect 5.0.6.0 podría permitir a un atacante remoto ejecutar comandos arbitrarios en el sistema, causados por una validación incorrecta de las URL del Developer Portal. Al crear URLs malintencionadas, un atacante podría explotar esta vulnerabilidad para ejecutar comandos arbitrarios en el sistema con los privilegios del usuario de datos www-data user. IBM X-Force ID: 122956.

Impacto

Vector 3.x

CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L CVSS v3.1 Severidad y Métricas:

Puntuación base: 7.30 ALTA
Vector: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Bajo
Impacto a la integridad (I): Bajo
Impacto a la disponibilidad (A): Bajo

Puntuación base 3.x

7.30

Gravedad 3.x

ALTA

Vector 2.0

AV:N/AC:L/Au:N/C:P/I:P/A:P CVSS v2.0 Severidad y Métricas:

Puntuación base: 7.50 ALTA
Vector: AV:N/AC:L/Au:N/C:P/I:P/A:P

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Autenticación (Au): Ninguno
Impacto a la confidencialidad (C): Físico
Impacto a la integridad (I): Físico
Impacto a la disponibilidad (A): Físico